1.Using an Access Control Matrix
CODEDRAGON ㆍSecurity/SecureCoding
반응형
Using an Access Control Matrix
- Role(역할)기반의 접근제어에서 role은 액세스허용과 권한을 부여하게 됩니다.
- role기반의 접근제어는 role허용관리와 role할당으로 구성되며 사용자는 하나 이상의 role을 할당 받을 수 있습니다.
- 잘못 관리할 경우에는 허용되지 않은 사용자가 리소스(자원)에 접근할 수 있는 취약점을 가지게 됩니다.
LAB 수행
사이트에 접속하여 접근제어규칙 탐색하기
(단순하게 Account manger 리소스에 접근할 수 있는 사용자를 순서대로 찾아봅니다.)
[Admin]그룹만 "Account Manager"리소스에 접근할 수 있습니다.
Select resource: 를 "Account Manager"로 선택하고,
Change user 값을 순서대로 바꿔가면서
Check Access 버튼을 클릭해봅니다.
계속 시도해 보다 보면 "Larry"가 권한을 가지고 있다는 메시지가 출력됩니다.
Moe는 실패!!!
LAB 성공!!!
Larry 성공!!!
'Security > SecureCoding' 카테고리의 다른 글
3.3Stage3: Bypass Data Layer Access Control - WebGoat (0) | 2015.11.03 |
---|---|
3.1Stage1: Bypass Business Layer Access Control (0) | 2015.10.27 |
2.HTTP Splitting (0) | 2015.10.14 |
1.Http Basics (0) | 2015.10.07 |
2015 SW보안 컨퍼런스 - 2015.10.5 (0) | 2015.10.02 |