Missing Function Level Access Control (기능 수준의 접근 통제 누락) Missing Function Level Access Control (기능 수준의 접근 통제 누락) 은 2013년 기준 OWASP 기준 TOP10의 A7로 되어 있다. 2017년 OWASP 발표한 자료에 따르면 Insecure Direct Object References(객체직접참조) 와 통합이되어 TOP10의 A4이다. 대부분의 웹 애플리케이션은 UI에 해당 기능을 보이게 하기 전에 기능 수준의 접근권한을 확인한다.
그러나, 애플리케이션은 각 기능에 접근하는 서버에 동일한 접근통제 검사를 수행한다. 요청에 대해 적절히 확인하지 않을 경우 공격자는 적절한 권한 없이 기능에 접근하기 위한 요청을 위조할 수 있다.
대표적으로 파일 다운로드, 업로드 취약점 을 이용하여 웹 서버에 접근하는 공격유형이 있다....
#
A7
#
MissingFunctionLevelAccessControl
#
OWASP
#
기능수준의접근통제누락
#
파일다운로드취약점
#
파일업로드취약점
![webhacking.kr 14 [100]](https://mblogthumb-phinf.pstatic.net/MjAyMDAzMDhfMTYy/MDAxNTgzNjAzOTM0OTQ0.Fg44FM2Oq9O6aBFoPCTPUnFg5UrXHciBBO1QdDqAjxQg.ljV5UILf_YNunb3tnnZfDlhvmn7kAXgev1gfpykX5Ngg.PNG.ster098/image.png?type=w2)
