WebGoat 분석 - Authorization
WebGoat에서 사용 중인 UserDetailsService에서 User 정보를 조회가 가능할 때 리턴되는 엔티티 클래스 정보를 보면, ROLE은 2개로 구분되어 있는 것을 알 수 있다. 그렇지만 Spring Security의 보안필터 구성을 보면 요청에 따른 권한적용 여부가 포함되어 있지 않았으므로, 권한에 따른 기능을 분리하지 않은 것으로 보인다. Controller나 Service에서 유저의 권한을 확인할 수도 있기 때문에 ADMIN 권한으로 검색해보았지만 특별히 권한에 따라 기능 및 데이터를 제한하지 않는 것을 알 수 있다. 이후 기능 확인과정에서 Admin 서비스가 있거나, Admin 서비스로 분류가 필요한 기능이 확인된다면, 해당 서비스가 권한검증없이 기능 및 데이터가 제공될 수 있다는 것을..
Web Analytics/WebGoat
2024. 2. 14. 18:21
반응형
최근에 올라온 글
- Total
- Today
- Yesterday