Wallarm / Wallarm Learning Center / 손상된 기능 수준 권한 부여
API 보안 OWASP
In

손상된 기능 수준 권한 부여

1 Min Read
API5: 손상된 기능 수준 권한 부여

비허가 접근 허용 문제(PAAP: Permitting Access to Unauthorized Procedures)는, 지정된 승인이 아직 부여되지 않았음에도 웹 어플리케이션 기능에 사용자가 자유롭게 접근을 허용하는 보안 결함을 나타냅니다. 사용자 허가를 충분히 검증하지 않은 채로 기능이 작동하는 상황이 여기에 해당됩니다. 이런 결함은 부적절한 사용자로부터 시스템의 주요 기능이 악용되거나 민감한 정보에 접근하는 데 이용될 수 있습니다.

손상된 기능 수준 권한 부여란 무엇입니까?

PAAP의 기본적인 발생 요인

PAAP가 발생하는 큰 이유 중 하나는 개발자가 사용자 승인 확인을 제대로 파악하지 않고 기능을 작동하게 하는 데에 있습니다. 사용자가 로그인하고 나서도, 시스템이 사용자 승인을 지속적으로 확인하지 않는 상황에서 이런 결함이 자주 터져나옵니다. 이에 따라 사용자는 승인 범위를 넘어서는 기능을 이용할 수 있는 문제가 발생하게 됩니다.

PAAP에 대한 사례 설명

PAAP 결함에 대한 생생한 예시는 아래의 상황들을 보면 알 수 있습니다:

  1. 관리자 옵션: 일반 사용자가 관리자 기능을 사용하는 경우입니다. 예를 들어, 사용자가 웹 주소를 변경하여 관리자 페이지에 입장해서 API를 통해 관리자 기능을 작동시키는 경우가 있습니다.

  2. 민감한 정보: 사용자가 자신의 데이터가 아닌 다른 데이터에 접속하는 경우입니다. 예를 들면, 사용자가 다른 사람의 개인 정보를 보거나 수정하는 등의 기능을 활용하는 상황을 말합니다.

PAAP 피해 방지 전략

PAAP 문제를 예방하려면 여러가지 대응책이 필요합니다:

  1. 승인 확인: 사용자가 각 기능을 작동시키기 전에 꼭 사용자 승인을 확인하게끔 해야 합니다. 이 단계는 로그인 후에도 지속적으로 진행되어야 합니다.

  2. 최소한의 권한 원칙: 필요한 최소한의 권한만을 사용자에게 부여하도록 해야 합니다. 이 접근법은 사용자가 자신의 승인 범위를 넘어 기능을 사용하는 것을 방지합니다.

  3. 입력 검증: 사용자 입력을 검증하여, 사용자가 예상치 못했던 방법으로 기능을 작동하는 것을 근절해야 합니다.

이러한 방어 전략을 통해 PAAP와 같은 문제점을 극복하고, 웹 어플리케이션의 보안을 강화할 수 있습니다.

`

 

`

FAQ

고도의 기능 승인 절차 불일치에 대한 자주 묻는 질문들을 분석하고자 합니다. 이 문제에 대해 다양한 관점에서 살펴보도록 하겠습니다.

1. 고도의 기능 승인 절차 불일치는 어떤 문제인가요?

고도의 기능 승인 절차 불일치는 사용자가 그들에게 허가되지 않은 기능을 사용할 수 있게 하는 보안 전문용어입니다. 이것은 웹 애플리케이션에서 기능 간 승인 절차가 제대로 이루어지지 않을 경우 나타나는 문제입니다.

2. 이 문제는 어떤 상황에서 발생하나요?

이 문제는 대게 승인 절차를 체크하는 메커니즘이 적절하게 작동하지 않거나, 승인 절차 자체가 효율적이지 않을 때 발생합니다. 사용자의 요구를 충족시키기 전에 승인 절차를 반드시 거쳐야 하는데, 이 절차가 누락되거나 잘못 구현된 경우 사용자가 허가되지 않은 기능을 이용할 수 있습니다.

3. 이 문제를 어떻게 해결하나요?

고도의 기능 승인 절차 불일치를 막기 위해서는 승인 절차를 체크하는 메커니즘을 강화하고, 승인 절차를 철저히 관리해야 합니다. 또한, 사용자의 요구를 충족시키기 전에 반드시 승인 절차를 거쳐야 합니다.

4. 이 문제는 공격자에게 어떤 이점을 줄 수 있나요?

이 문제를 이용하면, 공격자는 허가되지 않은 기능을 이용해 시스템을 조작하거나, 민감한 정보를 가져갈 수 있습니다. 이로 인해 시스템의 안전성이 저해될 수 있습니다.

5. 이 문제를 어떻게 인지하나요?

고도의 기능 승인 절차 불일치를 발견하려면 승인 절차를 체크하는 메커니즘을 주기적으로 검사해야하고, 사용자의 접근 로그를 지속적으로 모니터링해야 합니다. 또한, 보안 테스트를 통해 시스템의 보안 결함을 확인하는 것이 중요합니다.

이 질문들을 통해 고도의 기능 승인 절차 불일치에 대한 이해를 높이고, 이 문제를 예방하고 시스템 보안을 유지하는데 필요한 승인 절차와 보안 테스트의 중요성을 인식하는데 도움이 될 것입니다.

참고문헌

  1. OWASP. (2020). "OWASP Top 10 - 2020: 우리가 깨어야 할 웹 애플리케이션 보안 위협 10가지." 오픈 웹 애플리케이션 보안 프로젝트. 자세한 정보를 원하시면 여기를 참조하세요: https://owasp.org/www-project-top-ten/2020/A01_2020-Broken_Function_Level_Authorization

이 웹 리소스는 깨진 기능 수준 인증을 중점적으로 다루며, 이같은 위협을 어떻게 대처하고 피해야 하는지에 대한 심층적인 가이드를 제공합니다.

  1. PortSwigger. (2021). "기능 단위 핵심 제어 메카니즘." 웹 보안 아카데미. 자세한 정보를 원하시면 여기를 참조하세요: https://portswigger.net/web-security/access-control

이 웹 리소스는 처음보는 사용자도 기능 수준 접근 제어를 쉽게 이해하도록 돕는 풍부한 정보를 제공합니다.

  1. OWASP. (2017). "허가 스키마 우회에 대한 시험 절차." OWASP 테스팅 가이드 v4. 자세한 정보를 원하시면 여기를 참조하세요: https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/05-Authorization_Testing/02-Testing_for_Bypassing_Authorization_Schema

이 가이드는 기능 수준 인증이 무너진 경우에도 시험을 통해 이를 식별할 수 있는 방법을 제공해줍니다.

  1. OWASP. (2017). "권한 부여에 대한 지름길." OWASP 치트 시트 시리즈. 자세한 정보를 원하시면 여기를 참조하세요: https://cheatsheetseries.owasp.org/cheatsheets/Authorization_Cheat_Sheet.html

권한 부여에 대한 다양한 이슈를 다루는 이 치트 시트는 기능 수준 인증이 깨질 때 어떤 문제가 생기는지 알려줍니다.

  1. Microsoft. (2020). "ASP.NET Core 내의 인가를 위한 절차." Microsoft 문서. 자세한 정보를 원하시면 여기를 참조하세요: https://docs.microsoft.com/en-us/aspnet/core/security/authorization/introduction?view=aspnetcore-5.0

이 문서는 ASP.NET Core에서 권한 부여 방법에 대해 설명합니다. 이를 이해하면 기능 수준 인증의 결함을 방지할 수 있습니다.

  1. Google. (2021). "Firebase 실시간 데이터베이스 규칙에 대한 이해." Firebase. 자세한 정보를 원하시면 여기를 참조하세요: https://firebase.google.com/docs/database/security

Firebase 실시간 데이터베이스 규칙이 무엇인지 알려주는 이 웹사이트의 설명을 이해하면, 기능 수준 인증의 문제를 방지하는 데 도움이 됩니다.

  1. Amazon. (2021). "IAM JSON 정책 요소: 조건." AWS 아이덴티티 및 엑세스 관리. 자세한 정보를 원하시면 여기를 참조하세요: https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html

AWS의 IAM JSON 정책 요소의 조건에 대한 설명을 제공하는 이 웹사이트를 통해 기능 수준 인증의 결함을 이해하고 방지하는 데 도움이 됩니다.

  1. NIST. (2018). "접근 제어해석." 컴퓨터 보안 리소스 센터. 자세한 정보를 원하시면 여기를 참조하세요: https://csrc.nist.gov/glossary/term/access_control

이 웹사이트는 접근 제어의 핵심 개념에 대해 설명해주어서, 기능 수준 인증의 중요성을 이해하는 데 도움을 줍니다.

  1. OWASP. (2020). "접근 제어 치트 시트." OWASP 치트 시트 시리즈. 자세한 정보를 원하시면 여기를 참조하세요: https://cheatsheetseries.owasp.org/cheatsheets/Access_Control_Cheat_Sheet.html

이 치트 시트는 접근 제어에 대한 심오한 주제들을 다루고 있으며, 기능 수준 인증의 결함을 이해하는 데 필요한 지식을 제공합니다.

  1. OWASP. (2020). "Java 용 JSON 웹 토큰 치트 시트." OWASP 치트 시트 시리즈. 자세한 정보를 원하시면 여기를 참조하세요: https://cheatsheetseries.owasp.org/cheatsheets/JSON_Web_Token_Cheat_Sheet_for_Java.html

Java에서 사용되는 JSON 웹 토큰에 대한 이 치트 시트는 기능 수준 인증의 결함을 이해하고 방지하는 데 도움이 됩니다.

See Wallarm in action
“Wallarm really protects our service and provides good visibility and user-friendly control.”
Learning Objectives
WEBINAR
Wallarm Innovation Update: Improving Your API Security Posture With GraphQL Protection And API Policy Enforcement
Sign up for our comprehensive webinar
REGISTER
Mukhadin Beschokov
Author |
Verified Expert
20+ years IT expertise in system engineering, security analysis, solutions architecture. Proficient in OS (Windows, Linux, Unix), programming (C++, Python, HTML/CSS/JS, Bash), DB (MySQL, Oracle, MongoDB, PostgreSQL). Skilled in scripting (PowerShell, Python), DevOps (microservices, containers, CI/CD), web development (Node.js, React, Angular). Successful track record in managing IT systems.