Notice
Recent Posts
Recent Comments
Link
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | ||||
| 4 | 5 | 6 | 7 | 8 | 9 | 10 |
| 11 | 12 | 13 | 14 | 15 | 16 | 17 |
| 18 | 19 | 20 | 21 | 22 | 23 | 24 |
| 25 | 26 | 27 | 28 | 29 | 30 | 31 |
Tags
- wireshark
- mount
- docker
- c
- basicrce3
- 와이어샤크
- 백준
- EC2
- Linux
- python
- htmlinjection
- 유석종교수님
- 자료구조
- beebox
- bWAPP
- fork-bomb
- CodeEngn
- SISS
- Reversing
- pwnable
- cloud
- acc
- Systemhacking
- Reflected
- backjoon
- cgroup
- datastructure
- Dreamhack
- System
- AWS
Archives
- Today
- Total
Ctrl + Shift + ESC
[IT@Security] Web 취약점 14. 취약한 패스워드 복구 본문
취약한 패스워드 복구란?
취약한 패스워드 복구 로직(패스워드 찾기 등)으로 인하여 공격자가 불법적으로 다른 사용자의 패스워드를 획득, 변경할 수 있다.
따라서 패스워드 복구 로직을 변경하고 인증된 사용자 메일이나 SMS에서만 재설정된 패스워드를 확인할 수 있도록 조치해야 한다.
취약한 패스워드 복구 점검
| 점검 내용 | 웹 사이트 내 패스워드 복구 절차의 적절성 점검 |
| 점검 목적 | 패스워드 복구 로직을 유추하기 어렵게 구현하고, 인증된 사용자 메일이나 SMS에서만 복구 패스워드를 확인할 수 있도록 하여 비인가자를 통한 사용자 패스워드 획득 및 변경을 방지하기 위함 |
| 점검 대상 | 웹 애플리케이션 소스코드 |
1. 재설정(또는 패스워드 찾기)되는 패스워드 몇 개를 획득하여 사용자의 연락처, 주소, 메일 주소, 일정 패턴을 패스워드로 이용하고 있는지 확인하고 재설정된 패스워드를 인증된 사용자 메일이나 SMS로 전송하는지 확인
회원 정보 찾기(아이디 및 비밀번호 찾기) 기능이 오직 이메일로 받는 기능밖에 없기 때문에 패턴을 메일과 비교하기 힘들 것 같다.
보안 설정 방법
- 사용자의 개인정보(연락처, 주소, 메일 주소 등)로 패스워드를 생성하지 말아야 하며, 난수를 이용한 불규칙적이고 최소 길이(6자 이상 권고) 이상의 패턴이 없는 패스워드를 발급하여야 한다.
- 사용자 패스워드를 발급해주거나 확인해줄 때 웹 사이트 화면에 바로 출력해주는 것이 아니라 인증된 사용자 메일이나 SMS로 전송해주어야 한다.
- 패스워드 재발급 검증 실패에 대한 임계값을 설정하여 일정 횟수 이상 실패한 경우 다른 방식으로 패스워드 찾기 기능을 제공하여야 한다. 검증 후 기존의 패스워드가 아닌 임시패스워드를 발급하도록 설계해야 하며, 사용자가 임시패스워드를 발급받은 즉시 새로운 패스워드로 재설정하도록 구현하여야 한다.
'Hacking/Web Hacking' Related Articles
more
