불충분한인증(IA)

불충분한인증(IA)

 

- 민감한 데이터에 접근할 수 있는 곳에 취약한 인증 메커니즘으로 구현된 취약점으로 인증 기능은 구현하였으나 단순한 추측 가능한 값으로 구현되어 권한 외의 페이지에 접근이 가능할 수 있다.

 

판단기준

 

양호 : 중요 page 접근시 인증절차 존재

취약 : 중요 page 접근시 인증절차 존재X

 

불충분한인증 대응방안

 

- 중요 page 접근시 인증절차 구현

- 접근 통제 정책을 구현하고 있는 코드는 구조화,모듈화 필요