Mass Assignment Vulnerability

What is 'Mass Assignment Vulnerbility'?

개발자가 효율적인 작업을 위해 Parameter가 HTTP Request 요청과 binding 될 수 있게 허용한 경우에 발생하는 취약점이다. 'Mass Assignment Vulnerability'가 존재할 경우, 매개변수가 자동으로 binding되기 때문에 공격자가 서버 측의 항목을 수정할 수 있다. 이를 통해 원하는 계정의 관리자 권한 부여, 접근 제어 공격 등을 Trigger할 수 있다. 이 취약점이 발생하는 대표적인 예로 Spring의 Auto Binding, ASP.NET의 Object Injection이 있다.

 

이 취약점을 방지하려면 Parameter를 Whitelist 방식을 이용해 관리해야 한다.

 

Example of 'Mass Assignment Vulnerability'

Spring을 예시를 들어보자. 객체를 만들기 위해 username과 password, 2개의 필드가 존재한다.

그리고 2개의 필드를 이용하면 아래와 같이 public class로 지정된 2개의 객체의 Form에 맞춰 생성할 수 있다.

개발자는 User가 UserName과 Password, 2개의 파라미터만 이용 가능하게끔 만들어놓았다. ( 아래 예시 참조 )

하지만, WhiteList 방식으로 Parameter를 필터링하거나 제어할 수단이 존재하지 않기 때문에, 공격자는 위와 같이 isAdmin 필드에 접근하여 권한 상승 공격을 진행할 수 있다. 이는 Parameter를 WhiteList 방식으로 관리하지 않기에 발생하는 취약점이다.