반응형
인증의 4가지 유형:
- Something you know Ex) password, 주민등록번호
- Something you have Ex) key, passport, OTP
- Something you are Ex) Iris, fingerprint
- Somewhere you are Ex) IP address
인증 취약점:
- Vulnerability on password setting
- Password recovery vulnerability - ex) 비밀번호 찾기 과정에 너무 쉬운 질문을 넣은 경우
3가지 접근통제 기술:
- Vertical access control
Vertical access control에서는 특정 정보에 대한 접근 권한이 수준별로 상이하게 설계되어 있다.
예를 들어 일반 사용자와 관리자의 차이가 있다. 일반 사용자가 접근 할 수 있는 정보와 관리자가 접근 할 수 있는 정보에 대해 다른 접근 권한을 부여한다. - Horizontal access control
Horizontal access control에서는 웹 어플리케이션 내에 여러 사용자가 존재할 때 상대방의 정보를 볼 수 없도록 통제하는 것을 의미한다.
예를 들어 이메일이 있다. 각 사용자가 가진 권한의 차이는 없지만 서로의 고유 정보에 대해서는 접근이 불가능하다. - Business logic access control
Vertical access control과 Horizontal access control과는 다르게, Business logic access control은 사용자 권한에 종속되지 않고, 민감하거나 중요한 자원에 대한 접근과 관련된 것이다. (Related to access to sensitive or important resources)
예를 들어 사용자가 관리자 권한을 전부 획득하지 못하였더라도 관리자만 접근 할 수 있는 메뉴에 접근할 수 있는 경우다. Ex. 중요한 설정파일이 노출된 경우
반응형
'[보안 Archive] ~2017 > <인터넷 해킹과 보안> 정리' 카테고리의 다른 글
| 일반적인 웹 해킹 절차 (0) | 2020.04.30 |
|---|---|
| 웹에 대한 이해(2) - HTTP 1.0 과 1.1 작동 원리 (0) | 2020.04.30 |
| 웹에 대한 이해(1) - HTTP (0) | 2020.04.30 |
| 소스코드 취약점 분석, 소스코드 취약점 유형 (0) | 2020.03.28 |
| 웹 보안의 기본 요소 - 인증, 접근 통제, 입력값 검증 (0) | 2020.03.28 |
댓글