발생원인
외부 입력값을 토대로 보안 매커니즘을 결정하는 경우
영향
권한 상승
코드예
| 안전하기 않은 코드의 예 - JAVA |
Cookie[] cookies = request.getCookies(); for (int i =0; i< cookies.length; i++) { Cookie c = cookies[i]; if (c.getName().equals("role")) { userRole = c.getValue(); } } |
쿠키에 저장된 값을 사용하여 role을 할당 |
안전한 코드의 예 - JAVA |
...... HttpSession session = context.getSession(id) ; String userRole = (Stirng)session.getValue("role") ; ...... |
내부 세션값을 권한 결정에 이용 |
'보안 > 시큐어코딩' 카테고리의 다른 글
| [시큐어코딩-16] 보안기능(2) 부적절한 인가 (0) | 2012.10.28 |
|---|---|
| [시큐어코딩-15] 보안기능(1) 적절한 인증없는 중요기능 허용 (0) | 2012.10.28 |
| [시큐어코딩-13] 입력데이터 검증및 표현(13) 정수오버플로우 (0) | 2012.10.28 |
| [시큐어코딩-12] 입력데이터 검증및 표현(12) HTTP응답 분할 (0) | 2012.10.28 |
| [시큐어코딩-11] 입력데이터 검증및 표현(11) 디렉토리 경로조작 (0) | 2012.10.28 |