Missing Function Level Access Control (기능 수준의 접근 통제 누락)Missing Function Level Access Control (기능 수준의 접근 통제 누락) 은 2013년 기준 OWASP 기준 TOP10의 A7로 되어 있다. 2017년 OWASP 발표한 자료에 따르면 Insecure Direct Object References(객체직접참조) 와 통합이되어 TOP10의 A4이다.대부분의 웹 애플리케이션은 UI에 해당 기능을 보이게 하기 전에 기능 수준의 접근권한을 확인한다. 그러나, 애플리케이션은 각 기능에 접근하는 서버에 동일한 접근통제 검사를 수행한다. 요청에 대해 적절히 확인하지 않을 경우 공격자는 적절한 권한 없이 기능에 접근하기 위한 요청을 위조할 수 있다.대표적으로 파일 다운..........
원문링크 : A7 - Missing Function Level Access Control (기능 수준의 접근 통제 누락)
네이버 블로그
티스토리
커뮤니티