[보안 해킹] 홈페이지 개발 보안 - 취약한 계정 생성 허용
■ 취약점 설명
- 회원가입 시 안전한 패스워드규칙이 적용되지 않아, 무차별 대입법 공격 등에 의해 공격자에게 패스워드가 노출될 수 있는 취약점
■ 보안대책
- 사용자가 취약한 패스워드를 사용할 수 없도록 패스워드 생성규칙을 강제 할 수 있는 로직 적용
< 참고 > 패스워드 생성 보안로직 권고사항
분 류 |
내 용 |
패스워드 생성규칙 |
- 세가지 종류 이상의 문자구성으로 8자리 이상의 길이 - 두가지 종류 이상의 문자구성으로 10자리 이상의 길이 |
패스워드 생성 금지규칙 |
- 간단한 문자(영어단어 포함)나 숫자의 연속사용은 금지 - 키보드 상에서 일련화 된 배열을 따르는 패스워드 선택금지 - 사전에 있는 단어, 이를 거꾸로 철자화한 단어 사용 금지 - 생일, 전화번호, 개인정보 및 아이디와 비슷한 추측하기 쉬운 비밀번호 사용 금지 - 이전에 사용한 패스워드는 재사용 금지 - 계정 잠금 정책 설정 ex)로그인 5회 실패 시 30분 동안 사용중지 |
■ 코드예제
- 회원가입 시 사용자가 입력한 패스워드를 확인하는 함수에서 단순히 패스워드 길이만을 확인하는 형태의 코딩
- 자주 사용하거나 유추하기 쉬운 패스워드를 별도의 파일로 관리하여 패스워드 생성 시 파일(취약한 패스워드 리스트)과 비교한 뒤 해당사항이 없을 경우에만 패스워드가 생성될 수 있도록 코딩
※ 문의 사항은 메일 : jyuhm@sntkor.com 이나 070-8611-4853
'Security > Hacking & Security' 카테고리의 다른 글
| [보안 해킹] 홈페이지 개발 보안 - 데이터 평문전송 (0) | 2016.10.31 |
|---|---|
| [보안 해킹] 홈페이지 개발 보안 - 불충분한 세션관리 (0) | 2016.10.31 |
| [보안 해킹] 홈페이지 개발 보안 - URL/파라미터 변조 (0) | 2016.10.27 |
| [보안 해킹] 홈페이지 개발 보안 - HTTP 응답분할 (0) | 2016.10.26 |
| [보안 해킹] 홈페이지 개발 보안 - LDAP 인젝션 (0) | 2016.10.25 |