반응형 정보보안3 🚨 Mass Assignment 공격: 숨겨진 필드를 조작하여 관리자 권한 탈취 🔓 📌 목차Mass Assignment 공격이란?공격 원리와 작동 방식주요 공격 기법보안 위협과 실제 사례방어 방법 및 대응 방안🔍 Mass Assignment 공격이란?Mass Assignment(대량 할당) 공격은 웹 애플리케이션이 입력된 모든 필드를 자동으로 객체에 할당할 때 발생하는 취약점이다.개발자가 사용자 입력을 화이트리스트 없이 그대로 모델 객체에 바인딩하면,공격자는 의도하지 않은 필드를 조작하여 관리자 권한을 탈취하거나, 계정 정보를 변경하는 등의 공격을 수행할 수 있다.이 취약점은 주로 Ruby on Rails, Express.js, Django, Laravel 등에서 발생한다.⚙️ 공격 원리와 작동 방식Mass Assignment 취약점은 프레임워크의 자동 바인딩 기능을 악용하여 공격자.. 2025. 2. 20. 🔓 BOLA 공격(Broken Object Level Authorization): 인증 취약점을 악용한 데이터 탈취 🚨 📌 목차BOLA(Broken Object Level Authorization)란?BOLA 공격의 원리주요 공격 기법보안 위협과 실제 사례방어 방법 및 대응 방안🔍 BOLA(Broken Object Level Authorization)란?BOLA(Broken Object Level Authorization, 객체 수준 권한 부여 취약점)은사용자가 자신의 데이터만 접근해야 함에도 불구하고 다른 사용자의 데이터를 조회, 수정, 삭제할 수 있는 보안 취약점이다.API가 사용자 인증만 확인하고, 개별 객체에 대한 접근 권한을 제대로 검증하지 않는 경우 발생한다.이 취약점은 OWASP API Security Top 10에서 1위로 선정될 만큼 심각한 보안 이슈로 평가받고 있다.⚙️ BOLA 공격의 원리BOLA .. 2025. 2. 20. 🚨 CORS Misconfiguration Exploitation: 취약한 CORS 설정을 악용한 데이터 탈취 공격 🔓 📌 목차CORS란 무엇인가?CORS Misconfiguration Exploitation의 원리주요 공격 기법보안 위협과 실제 사례방어 방법 및 대응 방안🔍 CORS란 무엇인가?CORS(Cross-Origin Resource Sharing)는 웹 브라우저가 다른 도메인의 리소스에 접근할 수 있도록 허용하는 보안 메커니즘이다.보통 웹 애플리케이션은 **동일 출처 정책(Same-Origin Policy, SOP)**에 의해 다른 도메인의 요청을 차단하지만,CORS 설정이 적절하지 않으면 공격자가 이를 악용하여 민감한 데이터를 탈취하거나 악성 요청을 수행할 수 있다.⚙️ CORS Misconfiguration Exploitation의 원리웹 서버가 잘못된 CORS 정책을 사용하면 공격자는 악성 웹사이트에서.. 2025. 2. 20. 이전 1 다음 반응형
