2.4 중요자원 접근통제

2.4 중요자원 접근통제

1. 보안약점 항목

• 보안기능 부적절한 인가
• 중요한 자원에 대한 잘못된 권한 설정

2. 설명

• 중요자원(프로그램 설정, 민감한 사용자 데이터 등)을 정의하고, 정의된 중요자원에 대한 신뢰 할 수 있는 접근통제 
  방법(권한관리 포함) 설계 및 접근통제 실패 시 처리방법을 설계한다.

3. 보안대책

• 중요자원에 대한 접근통제 정책을 수립하여 적용해야 한다.
• 중요기능에 대한 접근통제 정책을 수립하여 적용해야 한다.
• 관리자 페이지에 대한 접근통제 정책을 수립하여 적용해야 한다.

4. 진단기준

• 관리자 페이지에 대한 접근통제정책이 적용되도록 설계되어 있는가?
• 관리자 페이지에 대한 접근통제를 점검하는 테스트 계획이 수립되어 있는가?

사례1 : 관리자 페이지 노출
관리자페이지가 인터넷으로 접근 가능할 경우, 해당 페이지는 공격자의 주 공격대상으로 SQL삽입, 무
차별 대입 공격 등 다양한 형태의 공격 빌미를 제공하게 되는 취약점이다.

 

사례2 : SSI 삽입
SSI(Server‐side Includes)는 HTML 문서 내 변수 값으로 입력된 후, 이를 서버가 처리하게 되는데,
이 때 SSI 삽입 명령문이 수행되어 서버 데이터 정보가 누출되는 취약점이다.

 

사례3 : 부적절한 인가
프로그램이 모든 가능한 실행경로에 대해서 접근제어를 검사하지 않거나 불완전하게 검사하는 경우,
공격자는 접근 가능한 실행경로로 정보를 유출할 수 있는 취약점이다.

 

사례4 : 중요자원에 대한 잘못된 권한 설정
소프트웨어가 중요한 자원에 대하여 읽기, 수정 등의 권한을 의도하지 않게 허가할 경우 권한을
갖지 않은 사용자가 해당 자원을 사용하게 될 수 있는 취약점이다.