Authorization 2

Broken Access Control

학습 목표Broken Access Control이 OWASP Top 10 1위 취약점 클래스임을 설명할 수 있다.IDOR(Insecure Direct Object Reference)에서 객체 ID만 바꿔 타인 리소스에 접근하는 방식을 설명할 수 있다.수평(같은 role·다른 리소스)과 수직(낮은 role·높은 권한 API) 권한 상승을 구분할 수 있다.Mass assignment·missing function-level access control·forced browsing 패턴을 설명할 수 있다.서버 측 매 요청 검증·deny by default·자동 IDOR 테스트로 방어할 수 있다.문제 상황로그인한 일반 사용자가 GET /api/invoices/1001 → 200 + 남의 청구서invoice_id만..

인가 모델

학습 목표인가(Authorization) 가 인증 이후 행동·리소스를 제한함을 설명할 수 있다.RBAC(역할 기반)와 ABAC(속성 기반)의 구조·트레이드오프를 비교할 수 있다.수평·수직 권한(IDOR, privilege escalation)을 인가 설계 관점에서 구분할 수 있다.Policy engine(OPA 등)으로 중앙 정책을 분리하는 패턴을 설명할 수 있다.API에서 fail closed·403 vs 401·리소스 소유 검증을 적용할 수 있다.문제 상황JWT role: admin claim만 보고 삭제 API를 열었다토큰 위조·오발급 시 전면 장애 — 서버 측 정책 없음"로그인만 하면" 모든 주문 조회 API가 동작한다GET /orders/12345 — 남의 orderId만 바꿔도 200 (IDO..