🍪 쿠키 조작 취약점 실습

인가 설계 오류 - 쿠키에 중요 정보 직접 저장

OWASP A01 · Broken Access Control

취약점: 서버가 로그인 후 userid, role을 쿠키에 담아 전달합니다.
마이페이지 요청 시 서버는 쿠키를 검증 없이 신뢰하고 해당 userid의 정보를 보여줍니다.

실습: user1으로 로그인 후 F12 → Application → Cookies에서 userid=admin, role=admin으로 변조하고 새로고침하세요.

테스트 계정:
user1 / pass123 → 일반회원 홍길동
user2 / pass123 → 일반회원 김철수
admin / admin123 → 관리자