반응형
1. 개요
자격 증명 자료, 기본 관리 계정 목록, 무자별 대입 및 사전 공격 툴, 고급 GPU 크래킹 툴로
암호 조합에 접근할 수 있다. 만료되지 않은 세션 토큰도 문제!
2. 영향
시스템 손상, 사기, 기밀 정보 유출
3. 취약점 확인
기본 암호, 약한 암호 가 허용되는지 확인
효과가 없는 자격증명 복구나 비밀번호 복구 허용
평문, 암호화되거나 취약한 해쉬 비밀번호 사용
다중 인증이 없거나 비효율적
세션 ID가 URL에 노출
로그아웃, 비활성 기간 중 사용자 세션 및 인증 토큰이 무효화 되지 않음
4. 시나리오
1) 알려진 암호 목록을 사용한 계정 정보 삽입이 일반적
2) 유일한 인증 요소가 암호인 경우 발생
3) 세션에 대한 적절한 만료 시간이 정해지지 않은 것.
5. 보안 대책
1) 다중인증을 구현
2) admin 계정의 경우 기본 계정 사용 금지
3) 최악의 Top 10000개 비밀번호 이외로 비밀번호 생성
4) 암호 길이, 복잡성 정책 조정
5) 로그인시 결과에 대해 동일한 메시지 사용
6) 로그인 실패에 대한 로그를 남긴다
7) 세션 ID는 URL에 없고 안전하게 보관하고, 로그아웃, 유휴 및 절대 시간 초과 이후 무효화 시킨다.
출처 : OWASP Top Ten Web Application Security Risks | OWASP
2021 버전도 포스팅 예정입니다.
728x90
'Security > 정보보안기사' 카테고리의 다른 글
| [OWASP 2017] A4 XML 외부 개체(XXE) (0) | 2023.01.26 |
|---|---|
| [OWASP 2017] A3 민감한 데이터 노출 (0) | 2023.01.26 |
| [OWASP 2017] A1 인젝션 (0) | 2023.01.25 |
| [정보보안기사] #10. 보안솔루션의 정의와 보안용어 정리 (1) | 2022.11.17 |
| [정보보안기사] #9. 정보보안기사 실기 기출 요약 (2) (0) | 2022.11.16 |
댓글