[http] 웹서버의 설정이나 설계 미비, 세션 관리 미비로 인한 취약점

웹 서버의 설정이나 설계 미비로 인한 취약점

강제 브라우징

접근을 허용하지 않으려는 페이지의 url을 사용자가 알아내어 직접 경로를 입력하여 접근하는 취약성을 말합니다.

예를 들어 게시판에서 읽을 권한이 없는 게시글을 클릭이 안되도록 설정해 놓더라도 브라우저에 url을 직접 입력해서 접속할 수 있습니다.

부적절한 에러 메시지 처리

에러메시지를 개발자가 아닌 일반 사용자들 모두가 볼 수 있게 된다면 에러 메시지를 이용해 역으로 서버 리소스에 대한 정보를 유추해 갈 수 있습니다.

오픈 리다이렉트

지정한 임의의 URL로 리다이렉트 하는 기능입니다. 리다이렉트 되는 곳의 URL이 악의적인 사이트라면 유저는 그 사이트로 연결되는 취약점 입니다.

세션 관리 미비로 인한 취약점

세션 하이젝

어떠한 방법이던 유저의 SID를 취득한 경우, 공격자는 브라우저에 해당 SID를 세팅하고 웹사이트에 접속해서 마치 유저인 것 처럼 행동할 수 있습니다.

세션 픽세이션

아직 인증받지 않은 SID를 유저에게 강제로 셋팅시킵니다.

SID에 대해 유저가 인증을 받고나면 공격자가 해당 SID로 접근하는 방법입니다.