1.Using an Access Control Matrix

CODEDRAGON Security/SecureCoding

반응형

   

Using an Access Control Matrix

  • Role(역할)기반의 접근제어에서 role은 액세스허용과 권한을 부여하게 됩니다.
  • role기반의 접근제어는 role허용관리와 role할당으로 구성되며 사용자는 하나 이상의 role을 할당 받을 수 있습니다.
  • 잘못 관리할 경우에는 허용되지 않은 사용자가 리소스(자원)에 접근할 수 있는 취약점을 가지게 됩니다.

   

   

LAB 수행

사이트에 접속하여 접근제어규칙 탐색하기

(단순하게 Account manger 리소스에 접근할 수 있는 사용자를 순서대로 찾아봅니다.)

[Admin]그룹만 "Account Manager"리소스에 접근할 수 있습니다.

   

   

Select resource: 를 "Account Manager"로 선택하고,

Change user 값을 순서대로 바꿔가면서

Check Access 버튼을 클릭해봅니다.

계속 시도해 보다 보면 "Larry"가 권한을 가지고 있다는 메시지가 출력됩니다.

   

  Moe는 실패!!!

   

   

LAB 성공!!!

Larry 성공!!!

'Security > SecureCoding' 카테고리의 다른 글

3.3Stage3: Bypass Data Layer Access Control - WebGoat  (0) 2015.11.03
3.1Stage1: Bypass Business Layer Access Control  (0) 2015.10.27
2.HTTP Splitting  (0) 2015.10.14
1.Http Basics  (0) 2015.10.07
2015 SW보안 컨퍼런스 - 2015.10.5  (0) 2015.10.02