피드로 돌아가기
GeekNewsSecurity
원문 읽기
내 ID만 있으면 FIFA 월드컵 전체에 Rickroll을 틀 수 있었다
Client-side 권한 검사 부재로 인한 전 세계 월드컵 스트림 및 데이터 통제권 노출
AI 요약
Context
FIFA Agent Platform 가입을 통해 Microsoft Entra 테넌트에 접근 가능한 계정이 생성되는 구조. 인증 후 프런트엔드에서만 JWT의 role claim을 확인하여 접근을 제한하고 백엔드 API는 역할 검증 없이 데이터를 반환하는 심각한 설계 결함 존재.
Technical Solution
- Microsoft Entra ID 기반의 통합 인증 체계 운영으로 테넌트 내 계정 생성 시 내부 플랫폼 접근 가능성 확보
- Angular 기반 프런트엔드에서 NO_ROLES 상태를 확인하여 접근 거부 UI를 렌더링하는 Client-side Guard 적용
- 백엔드 API 서버가 인증 여부만 확인하고 구체적인 권한(Role) 강제 로직을 누락하여 데이터 응답 수행
- RTMP ingest URL의 UUID를 스트림 키로 사용하는 구조를 통해 외부에서 영상 소스를 교체할 수 있는 경로 노출
- Azure Function App의 역할 검사 부재로 Blob Storage 내 내부 기밀 파일 메타데이터 및 다운로드 URL 유출
실천 포인트
1. 인증(Authentication)과 인가(Authorization)를 엄격히 분리하여 백엔드 API 레벨에서 Role-based Access Control(RBAC) 강제 적용 여부 확인
2. JWT Claim 기반의 권한 검사를 프런트엔드 렌더링 로직에만 의존하는 Anti-pattern 제거
3. 외부 공개 포털과 내부 운영 시스템 간의 테넌트 공유 시 세분화된 접근 제어 정책(Conditional Access) 수립
4. RTMP 스트림 키 및 API 엔드포인트와 같은 민감 정보의 노출 범위를 최소화하고 주기적인 키 로테이션 도입