티스토리 뷰
반응형
WebGoat에서 사용 중인 UserDetailsService에서 User 정보를 조회가 가능할 때 리턴되는 엔티티 클래스 정보를 보면, ROLE은 2개로 구분되어 있는 것을 알 수 있다.
그렇지만 Spring Security의 보안필터 구성을 보면 요청에 따른 권한적용 여부가 포함되어 있지 않았으므로, 권한에 따른 기능을 분리하지 않은 것으로 보인다.
Controller나 Service에서 유저의 권한을 확인할 수도 있기 때문에 ADMIN 권한으로 검색해보았지만 특별히 권한에 따라 기능 및 데이터를 제한하지 않는 것을 알 수 있다.
이후 기능 확인과정에서 Admin 서비스가 있거나, Admin 서비스로 분류가 필요한 기능이 확인된다면, 해당 서비스가 권한검증없이 기능 및 데이터가 제공될 수 있다는 것을 알 수 있으며, 이 부분은 체크해두고 다음 분석으로 넘어간다.
반응형
'Web Analytics > WebGoat' 카테고리의 다른 글
| (WebGoat) General - HTTP Basics (0) | 2024.03.02 |
|---|---|
| WebGoat 실습환경 구축 (loopback 이슈 해결) (0) | 2024.02.26 |
| WebGoat 분석 - Authentication (0) | 2024.02.14 |
| WebGoat 분석 - 회원가입 (0) | 2024.01.28 |
| WebGoat 분석 - 로그아웃 (0) | 2024.01.28 |
댓글
반응형
최근에 올라온 글
- Total
- Today
- Yesterday