[SK쉴더스 Rookies 19기] 클라우드 기반 스마트 융합보안 과정
01. Stage 1: Bypass Business Layer Access Control
tom의 경우
jerry의 경우
employee_id가 action의 대상(번호)구나
으로 바꿔 원래 tom의 화면에서 볼 수 없는 deleteprofile으로 넣어보자
기능에서의 접근 통제가 이뤄지지 않은 경우임!!
02. Stage 3: Bypass Data Layer Access Control
tom은 자신의 profile만 확인 가능하다
다른 사용자의 prifile을 확인해보자
proxy
id를 변경해주면
다른 사용자의 profile을 볼 수 있음
데이터의 접근 통제가 이뤄지지 않은 경우임!!
728x90
'Rookies > 애플리케이션 보안' 카테고리의 다른 글
| [SK shieldus Rookies 19기] Python 시큐어코딩 가이드 - 입력 데이터 검증 및 표현 06 (0) | 2024.04.02 |
|---|---|
| [SK shieldus Rookies 19기] WebGoat - Exploit Hidden Fields (0) | 2024.04.02 |
| [SK shieldus Rookies 19기] Python 시큐어코딩 가이드 - 입력 데이터 검증 및 표현 05 (0) | 2024.04.02 |
| [SK shieldus Rookies 19기] Python 시큐어코딩 가이드 - 입력 데이터 검증 및 표현 04 (0) | 2024.04.01 |
| [SK shieldus Rookies 19기] Python 시큐어코딩 가이드 - 입력 데이터 검증 및 표현 03 (0) | 2024.04.01 |