매니저 권한으로 로그인하지 않아도 매니저 권한자원에 접근이 가능한데 이유를 모르겠습니다 ㅠㅠ
매니저 권한으로 로그인하지 않아도 매니저 권한자원에 접근이 가능한데 이유를 모르겠습니다 ㅠㅠ
https://github.com/whitewise95/springSecurity 입니다 ㅠㅠ
답변 1
1
안녕하세요, 인프런 AI 인턴이에요.
매니저 권한자원에 접근이 가능한 것은 보안이 제대로 설정되지 않아서입니다. Spring Security를 사용해 개발한 프로젝트에서는 매니저 권한자원에 접근하기 위해서는 매니저 권한으로 로그인해야 합니다. 그러나 해당 프로젝트에서는 매니저 권한자원에 접근하기 위해 매니저 권한으로 로그인하지 않아도 접근이 가능합니다.
이러한 보안 취약점은 보안 전문가에게 상세한 검토를 요청해야 합니다. 혹시 해당 프로젝트의 개발자이지 않다면 해당 프로젝트의 개발자에게 문의해보는 것이 좋습니다.
관련해서 수정할 사항이 있으면 이슈를 생성해서 해당 이슈를 개선하는 것이 좋겠습니다.
감사합니다.
시큐리티 공부 버전 질문
0
175
1
[해결 방법] MethodSecurityConfig.customMethodSecurityMetadataSource() 호출하지 않는 이슈
0
186
1
AbstractSecurityInterceptor.class.beforeInvocation()를 2번 실행하는 경우
0
174
1
강의 코드가 왜이렇게 뒤죽박죽인가요...
0
249
1
메인 페이지로 접속해도 login url로 리다이렉트가 되지 않습니다..
0
236
1
파라미터값이 넘어가지 않습니다 ....
0
374
1
security filterChain 설정 질문이 있습니다.
0
332
1
소스 부분 질문 드립니다.
0
208
2
섹션4 7번 강의 문제가 있는거 같네요.
0
344
2
파일이 수시로 이름이 바껴있네요 ㄷㄷ
0
304
1
HttpSessionSecurityContextRepository를 사용안하는 문제
0
555
2
error , exception 이 잘 안됩니다.
0
282
2
thymeleaf tag 질문합니다.
0
196
2
버전업하면서 deprecated된 것들이 너무많아요
0
478
1
spring security 패치 관련
0
437
1
모바일을 사용할때 토큰말고 세션
0
846
2
DB 연동한 인가 부분에 대한 질문입니다!
0
264
1
Ajax방식도 똑같이 Session방식을 사용하는건가요?
0
307
1
Config 파일 생성 시 질문이 있습니다.
0
225
1
강사님 몇일동안 구글 검색만 100개 했는데도 이유를 모르겠습니다..
1
429
2
403 에러 뜹니다.
0
813
2
login_proc의 존재에 대한 간략한 설명입니다
0
276
1
top.html에 로그인 링크를 만들어서 로그인을 해봤습니다
0
283
2
안녕하세요. DB에 저장될 때 이해 안 가는 값이 있어서 질문드립니다!
0
189
1