[보안 해킹] 홈페이지 보안 취약점 - 실명인증 취약점
■ 취약점 설명 및 사례
⑴ 취약점 설명
- 실명인증 우회 취약점은 사용자 본인 확인 과정상에서 취약한 프로그램을 악용하여 사용자 정보를 변조하는 것임
- 실명인증 취약점을 통해 관리자로 위장하여 개인정보를 수집하거나 홈페이지 가입 시 제공하는 포인트 등을 악용하는 등의 공격이 발생 가능함
※ 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」에 의거, 국가기관, 지방자치단체 및 공공단체 등에서 운영하는 게시판은 사용자 본인을 확인하기 위한 방법 및 절차가 마련되어야 함
⑵ 사례
① OO기관은 정상적으로 실명인증을 받은 후 개인정보 입력 시 이름과 주민등록번호를 변조 하여 전송하면 변조된 이름으로 회원가입이 가능
■ 점검방법
⑴ 웹 프록시(Proxy) 프로그램을 이용하여 실명정보를 수정하는 방법으로 취약점 점검을 수행
① 관리하고 있는 웹서버 내의 실명인증 페이지로 이동
② 프록시(Proxy) 프로그램을 이용하여 실명인증 과정 중에 발생하는 네트워크 트래픽을 모니터링
※ 대표적인 공개용 웹 프록시 프로그램은 아래와 같으며 사용 방법은 해당 프로그램 사용 설명서 참고
|
|
구 분 |
사이트 주소 |
비 고 |
|
1 |
Paros Proxy |
Java 기반의 프록시 서버 | |
|
2 |
Burp Proxy |
③ 실명인증 성공 후의 결과정보를 조작
◈ 실명인증 우회 과정(아래 그림 참고)
㉠ 공격자는 취약점이 존재하는 웹서버에 정상적인 사용자의 개인정보로 접속하여 실명 인증 수행
㉡ 웹서버(또는 개인)는 인증기관으로 실명정보 확인을 요청
㉢ 실명정보를 확인한 인증기관은 웹서버에 사용자의 나이, 성별, 연락처 등의 개인정보를 전달하며 사용자에게는 "실명인증 성공" 메시지를 전달
㉣ 공격자는 수신한 실명인증 결과를 웹 프록시 툴을 이용하여 임의의 사용자로 변조 후 가입 또는 글 작성을 완료
㉤ 취약점이 존재하는 웹서버는 사용자가 요청한 정보를 검증과정 없이 신뢰하여 변조된 사용자의 가입(또는 글 작성)을 허용
④ 글 쓰기(또는 회원 가입)를 완료한 후 글 작성자의 이름이 임의로 변조한 사용자 이름으로 등록 되었는지 확인
※ 사용자명이 변조되지 않고 실명인증을 받았던 정상적인 사용자 이름으로 게시되었을 경우 실명인증 우회 취약점이 존재하지 않음을 의미함
■ 대응방안
⑴ 홈페이지 개발 보안 조치
① 중요한 정보가 있는 홈페이지(실명 등)은 재 인증 적용하고 안전하다고 확인된 라이브러리나 프레임워크(OpenSSL이나 ESAPI의 보안기능 등)를 사용
※ 제 글중 홈페이지 개발 보안 방안의 파리미터 변조를 참조, 소스코드를 수정하여 보안취약점을 조치하시길 바람
※ 문의 사항은 메일 : jyuhm@sntkor.com 이나 070-8611-4853
'Security > Hacking & Security' 카테고리의 다른 글
| [보안 해킹] 홈페이지 보안 취약점 - 파일 다운로드 취약점 (0) | 2016.10.11 |
|---|---|
| [보안 해킹] 홈페이지 보안 취약점 - 전송 시 주요정보 노출 취약점 (0) | 2016.10.11 |
| [보안 해킹] 홈페이지 보안 취약점 - 계정관리 취약점 (0) | 2016.10.08 |
| [보안 해킹] 홈페이지 보안 취약점 - 취약한 파일 존재 (0) | 2016.10.07 |
| [보안 해킹] 홈페이지 보안취약점 - 불필요한 Method 혀용 취약점 (0) | 2016.10.06 |
