안녕하세요 IT몽상가입니다. 오늘은 주요 통신 기반시설 취약점 진단 항목 중 Web(웹) 보안 "불충분한 인증"에 대해서 설명드리도록 하겠습니다.
개인정보가 노출된 페이지 등 중요 페이지에 접속하는 경우 추가적인 인증절차 여부를 확인하는 취약점입니다. 먼저 가이드를 확인해 보도록 하겠습니다.
가이드상 나와 있는 것은 중요정보 페이지 접근 시 추가 인증 여부를 확인하는 것이라고 나와 있습니다. 사실 조금 애매한 부분인데요 현재 일반적으로 해당 취약점을 잡을 때 개인정보 수정 페이지 등에 접근 시 추가적인 인증 여부를 확인하는 것을 확인하고 있습니다.
사실 불충분한 인가, 불충분한 인증, 프로세스 검증 누락 등 비슷한 취약점이 존재하기 취약점이 발견되더라도 어떠한 취약점으로 잡아야 할지 애매한 경우가 많은데.....
![[IA/상] 13. 불충분한 인증](https://k.kakaocdn.net/dn/cOJQ0w/btrO2ViiD0B/KRvKlAOxy4zaFaKom5k8w1/img.png)
원문 링크 : [IA/상] 13. 불충분한 인증
![[U-14/상] 2. 파일 및 디렉토리 관리 2.10 사용자, 시스템 시작파일 및 환경파일 소유자 및 권한 설정](https://k.kakaocdn.net/dn/obnsv/btrOxnHemOP/ntKeKgufu9w9yzIRpJVoe0/img.png)
![[U-17/상] 2. 파일 및 디렉토리 관리 2.13 $HOME/.rhosts, hosts.equiv 사용 금지](https://k.kakaocdn.net/dn/bdX8nb/btrOyiF4vRv/o1Pc08AIg5JKKfTZjjrJe1/img.png)
![[ISMS-P] 1.2.4 보호대책 선정 : "식별된 위험에 대한 처리 전략(감소, 회피, 전가, 수용 등)을 수립하고 위험처리를 위한 보호대책을 선정하고 있는가?"](https://k.kakaocdn.net/dn/c0HlYt/btrOSlntnmx/jC4gBkhBErjRPSS0JkfXgK/img.png)
![[ISMS-P] 1.3.2 보호대책 공유 : "구현된 보호대책을 운영 또는 시행할 부서 및 담당자에게 관련 내용을 공유 또는 교육하고 있는가?"](https://k.kakaocdn.net/dn/bWmBIS/btrOR23xyTh/D1kYL3vxpKKZCyRjyyniz0/img.png)
![[ISMS-P] 1.4.3 관리체계 개선 : "법적 요구사항 준수검토 및 관리체계 점검을 통해 식별된 관리체계 상의 문제점에 대한 근본 원인을 분석하여 재발방지 및 개선 대책을 수립‧이행하고 있는가?"](https://k.kakaocdn.net/dn/cePsz0/btrOS2aLepS/rN2TdcJpxiZDik1YjYVKfk/img.png)
![[ISMS-P] 2.3.1 외부자 현황 관리 : "업무 위탁 및 외부 시설‧서비스의 이용에 따른 법적 요구사항과 위험을 파악하고 적절한 보호대책을 마련하고 있는가?"](https://k.kakaocdn.net/dn/oaoVD/btrPrr7SO9r/kl4k4mSKWmJaWWpdS2YJ91/img.png)