학습 노트
웹 해킹 학습 노트 — 인증/인가 우회 패턴 모음
자주 마주치는 인증·인가 우회 패턴을 한곳에 정리한다.
자주 보는 패턴
- 클라이언트 측에만 존재하는 권한 검사
- 예측 가능한 객체 식별자 (IDOR)
- 상태 변경에 GET 사용 / CSRF 토큰 부재
- JWT
alg: none또는 약한 서명 키
메모
대부분은 “서버가 매 요청마다 다시 검증하지 않는다”는 한 줄로 수렴한다. 우회 기법보다 그 원칙을 먼저 본다.
자주 마주치는 인증·인가 우회 패턴을 한곳에 정리한다.
alg: none 또는 약한 서명 키대부분은 “서버가 매 요청마다 다시 검증하지 않는다”는 한 줄로 수렴한다. 우회 기법보다 그 원칙을 먼저 본다.