1.6 웹 기반 중요 기능 수행 요청 유효성 검증

1.6 웹 기반 중요 기능 수행 요청 유효성 검증

 

1. 보안약점 항목

• 크로스사이트 요청 위조

2. 설명

• 비밀번호 변경, 결제 등 사용자 권한 확인이 필요한 중요기능을 수행할 때 웹 서비스 요청에 대한 유효성 검증방법 설계 및 유효하지 않은 값에 대한 처리방법을 설계헤야 한다.

3. 보안대책

• 시스템으로 전송되는 모든 요청에 대해 정상적인 사용자의 유효한 요청인지, 아닌지 여부를 판별할 수 있도록 해야 한다.

4. 진단기준

• 중요기능 요청에 대한 데이터 처리 요청에 대해 요청 유효성을 판단하여 처리할 수 있도록 설계 되어 있는가?
• 요청에 대한 유효성 검증 기능을 점검하는 테스트 계획이 수립되어 있는가?

공격자는 세션탈취, XSS 등으로 자신이 의도한 행위(수정, 삭제, 등록 등)를 사이트가 신뢰하는 인증된 사용자의 권한으로 실행되게 할 수 있다.