์ทจ์•ฝํ•œ ์ง์ ‘ ๊ฐ์ฒด ์ฐธ์กฐ ๊ณต๊ฒฉ

๊ฐœ์š” "insecure Direct Object References"๋ผ๊ณ  ๋ถˆ๋ฆฌ๋ฉฐ ๋Œ€๋ถ€๋ถ„์˜ IDOR ์ทจ์•ฝ์ ์€ OWASP top 10์˜ A5 ์ธ Broken Access Control ๋ฒ”์ฃผ์— ํฌํ•จ๋˜์–ด ์žˆ์Šต๋‹ˆ๋‹ค. ์„œ๋ฒ„ ๋‚ด๋ถ€์— ๊ตฌํ˜„๋œ ๊ฐ์ฒด์˜ ์ฐธ์กฐ๋ฅผ ์ผ๋ฐ˜ ํด๋ผ์ด์–ธํŠธ๋“ค ์—๊ฒŒ ํ—ˆ์šฉํ•˜๊ฑฐ๋‚˜ ๋…ธ์ถœ์‹œํ‚ฌ ๊ฒฝ์šฐ ๋ฐœ์ƒํ•˜๋Š” ์ทจ์•ฝ์ ์„ ๋งํ•ฉ๋‹ˆ๋‹ค. DB๋ฅผ ์ฐธ์กฐํ•˜์—ฌ ์˜ฌ๋ฐ”๋ฅธ ๊ฒ€์ฆ์ ˆ์ฐจ๋ฅผ ๊ฐ€์ง€์ง€ ์•Š์œผ๋ฉด ๊ณต๊ฒฉ์ž๋Š” ํ—ˆ๊ฐ€ ์—†์ด ์ง์ ‘ ๊ฐ์ฒด ์ฐธ์กฐ๋ฅผ ํ•˜์—ฌ ์›ํ•˜๋Š” ๋ฐ์ดํ„ฐ ์กฐ์ž‘์ด ๊ฐ€๋Šฅํ•ด์ง‘๋‹ˆ๋‹ค. ์‰ฝ๊ฒŒ ์–˜๊ธฐํ•ด ํŒจ์Šค์›Œ๋“œ ๋ณ€๊ฒฝ, ์ดˆ๊ธฐํ™”, ์ƒํ’ˆ ๊ตฌ๋งค ํŽ˜์ด์ง€์— ๊ตฌํ˜„๋˜์–ด์žˆ๋Š” ๊ฐ๊ฐ์˜ ์ฝ˜ํ…์ธ ๋“ค์ด ์„œ๋ฒ„ ๋‚ด๋ถ€์˜ ๊ฐ์ฒด๋ฅผ ์ฐธ์กฐํ•˜์ง€ ์•Š์•„ ํด๋ผ์ด์–ธํŠธ๊ฐ€ ๋ณด๋‚ด๋Š” ๊ฐ’ ex) ์ƒํ’ˆ = 5000์› ์ธ ๊ฒƒ์„ ์ƒํ’ˆ = 100 ์›์œผ๋กœ ์กฐ์ž‘ํ•˜์—ฌ ์ด์šฉ์ด ๊ฐ€๋Šฅํ•ด์ง‘๋‹ˆ๋‹ค. ๊ณต๊ฒฉํฌ์ธํŠธ (1) URL Pram..

WEB