Secure Coding Guide | 부적절한 인가


정의

적절한 접근 제어 없이 외부 입력값을 포함한 문자열로 중요 자원에 접근할 수 있는 보안약점이다.

영향

허가되지 않은 기능 수행 가능해 진다.

조치 방법

관리자 권한에 대해서 접근제어를 검사하지 않은 경우

안전하지 않은 Jsp 코드 일부

<script type='text/javascript'>
...
if (${command.allowedIp} == false) {
    document.write("Check Administrator IP ...");
    alert("권한이 없습니다.")
    history.back(-1);
}
...
</script>

클라이언트에서 권한 확인을 수행하면 우회가 가능해 진다.