[보안 해킹] 홈페이지 보안 취약점 - 계정관리 취약점

[보안 해킹] 홈페이지 보안 취약점 - 계정관리 취약점

 

 

■ 취약점 설명 및 사례

    ⑴ 취약점 설명

        - 회원가입 시에 안전한 패스워드 규칙이 적용되지 않아서 취약한 패스워드로 회원 가입이 가능할 경우 무차별 대입공격을 통해 패스워드가 누출 될 수 있는 취약점

 

 

    ⑵ 사례

        ① OO학교는 취약한 사용자 계정 생성으로 인해, 추측을 통한 사용자 계정의 이용이 가능

            - 계정, 비밀번호 유추를 통해서 admin 계정으로 로그인 시도

 

            - admin 계정의, 비밀번호 admin1234로 로그인에 성공

 

■ 점검방법

    ⑴ 로그인 페이지에서 추측 가능한 계정으로 로그인 시도

        예) master, webmaster, admin, administrator, root, manager, test, masterweb)

        ① "test" 계정(ID/Password)으로 로그인 시도

 

        ② 결과(로그인 성공)

 

 

■ 대응방안

    ⑴ 홈페이지 개발 보안 조치

        ① 사용자가 취약한 패스워드를 사용할 수 없도록 패스워드 생성규칙을 강제 할 수 있는 로직을 적용

 

    ◆ 패스워드 생성규칙

구 분	내     용
패스워드 생성규칙	- 세가지 종류 이상의 문자구성으로 8자리 이상의 길이  - 두가지 종류 이상의 문자구성으로 10자리 이상의 길이
패스워드 생성 금지규칙	- 간단한 문자(영어단어 포함)나 숫자의 연속사용은 금지  - 키보드 상에서 일련화 된 배열을 따르는 패스워드 선택 금지  - 사전에 있는 단어, 이를 거꾸로 철자화한 단어 사용 금지  - 생일, 전화번호, 개인정보 및 아이디와 비슷한 추측하기 쉬운 비밀번호 사용 금지  - 이전에 사용한 패스워드는 재사용 금지  - 계정 잠금 정책 설정    예) 로그인 5회 실패 시 30분 동안 사용중지

 

        ② 제가 작성한 홈페이지 보안 방안 - 취약한 계정 생성 허용을 참조, 소스코드를 수정하여 보안취약점을 조치하시길 바랍니다.

※ 문의 사항은 메일 : jyuhm@sntkor.com 이나 070-8611-4853

문의 사항 남기기