2.1 인증 대상 및 방식
1. 보안약점 항목
- 서버사이드 요청 위조
- 적절한 인증 없는 중요기능 허용
- 부적절한 인증서 유효성 검증
- DNS lookup에 의존한 보안 결정
2. 설명
- 중요정보·기능의 특성에 따라 인증방식을 정의하고 정의된 인증방식을 우회하지 못하게 설계해야 한다.
3. 보안대책
- 중요기능이나 리소스에 대해서는 인증 후 사용 정책이 적용되어야 한다.
- 안전한 인증방식을 사용하여 인증우회나 권한 상승이 발생하지 않도록 해야 한다.
- 중요기능에 대해 2단계(2-factor)인증을 고려해야 한다.
중요기능이나 리소스를 요청하는 경우 인증이 되었는지를 먼저 확인하지 않고 요청을 처리하는 경우
중요 정보나 리소스가 노출될 수 있다.
'IT정보 > SW보안약점 진단원' 카테고리의 다른 글
| 2.3 비밀번호 관리 (0) | 2023.08.25 |
|---|---|
| 2.2 인증 수행 제한 (0) | 2023.08.25 |
| 1.10 업로드·다운로드 파일 검증 (0) | 2023.08.24 |
| 1.9 보안기능 입력값 검증 (0) | 2023.08.24 |
| 1.7 HTTP 프로토콜 유효성 검증 (0) | 2023.08.24 |
