A4 - 취약한 직접 객체 참조(DOR)

참조 : https://vmilsh.tistory.com/274 https://goitgo.tistory.com/52 A4 - 취약한 직접 객체 참조 · 파일, 디렉토리, 데이터베이스 키와 같은 내부적으로 처리되는 오브젝트가 노출되는 경우 다운로드 취약점 등을 이용하여 시스템 파일에 접근하는 취약점 등을 의미한다. · 접근통제에 의한 확인이나 다른 보호가 없다면, 공격자는 이 참조를 권한 없는 데이터에 접근하기 위해 조작 할 수 있다. 공격방법 · 주로 파일, 데이터베이스 키, URL에 노출된 세션 아이디를 통하여 조작이 가능하며, 접근 제어나 검증 절차가 없으면 공격자는 허가 없이 객체 참조를 조작하여 데이터를 접근할 수 있다.

대응방안 · 사용자 혹은 세션 당 간접 객체 참조를 사용한다. 이를 통해 공격자가 허가되지 않은 자원을 집적적으로 공격 목표로 삼는 것을 방지 할 수 있다. · 신뢰할 수 없는 소스로부터 직접 객체 참조가 사용되면, 각각의 사용에 대해 요청한 객체가 사용자...