Secure - 잘못된 접근 제어

잘못된 접근 제어 

접근이 허락된 사용자만 접근할 수 있도록 하고, 그 외에는 접근하지 못하게 한다. -> Update, Delete

특정기능에 대해 적절한 인증과 인가 작업이 수행되지 않는 경우 -> 인증 : 로그인 되있는지, 인가 : 기능을 수행할 권한이 있는지

비 인가된 기능에 대해 UI를 제공하지 않아야 한다. -> 버튼 안보이게 하기

공격자가 제공한 정보에 대한 점검작업이 서버실에서 수행되지 않는 경우를 막아야 한다.

공격자는 UI를 통하지 않고 URL을 직접 조작해서 관리자 페이지로 접근을 시도한다.

페이지에 인증, 인가 작업이 수행되게 해서 인증, 인가가 되지 않으면 튕겨버리게한다.

Redirecf / Forward

웹 애플리케이션이 사용자가 입력한 값을 사용해 다른페이지로 이동시키는 기능을 가지고 있는 경우,

검증이 이루어지지 않을 경우 피싱사이트나 악성코드를 배포하는 사이트 등으로 접속하게 될 수 있다.

안전하게 진행되려면 WhiteList가 필요하다.

서버를 통해서만 이동시켜야 되고 클라이언트에서 이동시키면 위험하다.