파라미터 변조

파라미터 변조 : URL로 전달되는 파라미터 변조를 통해 타인의 게시물을 열람,수정 또는 타인의 정보를 열람

 하거나 파라미터를 조작하여 권한을 상승하여 제한된 서비스 이용이 가능한 취약점

 웹프록시툴 버프스위트도구를 활용하여 패킷을 훔침 변조된 요청값을 서버에 전송

https://portswigger.net/burp/vulnerability-scanner

Burp Scanner - Web Vulnerability Scanner from PortSwigger

프록시 툴 : 서버와 브라우저 중간에 위치하여 패킷을 가로채서 살펴볼 수 있으며 MITM공격 가능

 

발생원인

-사용자로 부터 전달받는 파라미터를 서버가 항상 신뢰하는 경우

-서버로 유입되는 파라미터에 대해 일정한 기준으로 재검증하는 과정이 없는 경우

-인증정보와 같은 데이터가 클라이언트 측에 저장되어 공격자가 조작

 

피해

-권한 상승 : 권한 관련 파라미터 변조로 인한 권한 상승

-타 사용자 권한 탈취 : 사용자 정보와 관련 파라미터 변조로 인한 타 사용자 권한 탈취

-가격 변조 : 가격 정보 관련 파라미터 변조로 인한 구매가격 변조

-인증 우회 : 인증관련 파라미터 변조로 인한 인증 우회

 

불충분한 이용자 인증

-타사용자의 인증정보를 악용하거나 인증로직 우회

 식별 : 사용자가 자신의 신원정보를 밝히고 확인하는 행위

 인증 : 신원정보/신원확인의 유효성

 인가 : 인가된 접근 을 허락

 

점검방법

-사용자 인증 미비

-인증정보 재사용

-SSO 인증 모듈 안전성

-공인인증서 모듈 안전성

-사용자 별 권한 관리 절차의 누락

-타 사용자 정보의 무단열람

-게시판 권한 관리 취약점

-중요 페이지 접근시 재인증 실시

-타 사용자 정보의 무단 변조

 

대응방안

 전송된 값에 대한 변조 여부에 대한 검토를 거침

 

프로세스 검증 누락

-가격변조가능성

-인증프로세스 취약점

-부가금액 변조 가능성