개요
대상 플랫폼의 배달 주문 조회 엔드포인트는 accessToken이 null이어도 인증 오류 없이 정상 응답을 반환했습니다. 주문 식별자가 날짜 + 순차 증가 6자리 카운터로 구성되어 있어, 공격자는 열거를 통해 임의 주문의 주문자 전화번호, 이름, 결제수단, 주문 상품 목록을 무인증으로 조회할 수 있었습니다.
이 기록은 제품명, 공급업체명, 경로, 파라미터명, 재현 절차를 마스킹한 축약본입니다.
공개 정보
- 그룹: Web
- 상태: 공개됨
- 심각도: 보통
- 공개 범위: 비공개
공격 흐름
[1단계] 주문 식별자 형식 파악
- 인증 없이 접근 가능한 신규 주문 식별자 발급 엔드포인트 호출
- 형식: YYYYMMDD + 6자리 순차 카운터 확인
[2단계] 유효 주문 식별자 열거
- 날짜 고정, 카운터 순차 증가로 실존 주문 탐색
- 유효 주문: 200 정상 응답 / 미존재 주문: 별도 응답 코드
[3단계] 타인 주문 상세 정보 무단 조회
- accessToken=null 상태로 주문 조회 엔드포인트 호출
- 주문자 전화번호, 이름, 결제수단, 상품 목록, 주문 일시 노출영향
- 주문자 전화번호 및 실명 노출
- 결제수단(카드사, 결제 방식) 노출
- 주문 상품 목록, 금액, 일시, 배송 상태 노출
- 스미싱, 보이스피싱 등 2차 피해 악용 가능
- 대량 순차 열거로 불특정 다수 개인정보 수집 가능
조치 방안
- 모든 주문 조회 엔드포인트에서
accessToken유효성을 서버 측 인증 미들웨어로 검증한다. - 유효하지 않거나 null인 토큰에 대해 401을 반환한다.
- 주문 식별자를 서명된 토큰 또는 UUID 기반 무작위 값으로 변경한다.
- 조회 시 토큰 소유자와 주문 소유자가 일치하는지 서버 측에서 검증한다.
평가 결과
- 중간
- AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N/SH:B/DO:A
CWE
- CWE-306: 중요한 기능에 대한 인증 누락
- CWE-639: 사용자 제어 키를 통한 인가 우회
참고
이 레지스트리 항목은 마스킹된 포트폴리오 자리 표시자로 존재합니다. 운영 세부 사항을 생략한 채 식별자를 유지합니다.