Kant's Times

Unraveling Authentication and Authorization in Web Security 개요인증(Authentication)과 권한 부여(Authorization)는 웹 애플리케이션 보안의 핵심 요소둘은 유사해 보이지만 서로 다른 개념이며, 각각의 보안 취약점은 웹 애플리케이션을 심각하게 위협할 수 있음인증과 권한 부여인증: 사용자가 누구인지 확인하는 과정 (예: 사용자명과 비밀번호)권한 부여: 인증된 사용자가 특정 리소스에 접근하거나 작업을 수행할 수 있는지를 결정하는 과정두 개념은 함께 작동하며, 잘못 구현될 경우 보안 취약점을 초래할 수 있음주요 인증 및 권한 부여 취약점잘못된 신뢰: 프론트엔드에서 생성된 JWT 토큰을 백엔드에서 검증하지 않고 신뢰하는 경우 발생하는 취약점토큰 ..

캡차 인증 페이지 조작해 악성코드 실행 유도 공격 ‘주의’ 캡차 인증 페이지 조작해 악성코드 실행 유도 공격 ‘주의’최근 봇(bot)인지, 사람인지 판단하는 절차인 캡차 인증 페이지를 조작해 악성코드 실행을 유도하는 공격이 발견되고 있어 이용자의 주의가 필요하다. 이스트시큐리티 시큐리티대응센터(이하 ESRwww.boannews.com 공격 개요캡차 인증 페이지를 조작하여 악성코드를 실행하도록 유도하는 새로운 공격 방식이 발견됨사용자가 캡차 인증 과정에서 조작된 페이지에 접속하게 하여 악성 명령어 실행을 유도공격 방식캡차 인증 페이지로 리디렉션하거나 피싱 메일 링크로 접속을 유도함사용자가 'I’m not a robot' 버튼을 클릭하면 ‘Verification Steps’ 안내 메시지가 팝업됨악성 파워쉘(..