취약점점검- 취약한 패스워드 복구
2021. 1. 19. 10:52ㆍ웹취약점/그누보드
취약한 패스워드 복구 란?
웹 어플리케이션에 존재하는 비밀번호 찾기 기능 또는 관리자에 의한 임시 비밀번호 발급 시 사용자 인증이 미흡하거나 비밀번호를 화면에 즉시 출력할 경우 공격자가 불법적 으로 다른 사용자의 비밀번호를 획득, 변경,복구할 수 있는 취약점
취약점 개요
| 점검내용 | ■ 웹 사이트 내 패스워드 복구 절차의 적절성 점검 |
| 점검목적 | ■ 패스워드 복구 로직을 유추하기 어렵게 구현하고, 인증된 사용자 메일이나 SMS에서만 복구 패스워드를 확인할수 있도록 하여 비인가자를 통한 사용자 패스워드 획득 및 변경을 방지 하기 위함 |
| 보안위협 | ■ 취약한 패스워드 복구 로직(패스워드 찾기 등)으로 인하여 공격자가 불법적으로 다른 사용 자의 패스워드를 획득, 변경할 수 있음 |
점검대상 및 판단기준
| 대상 | ■ 그누보드(localhost) |
| 판단기준 | 양호: 패스워드 재설정 시 난수를 이용하여 재설정하고 인증된 사용자 메일이나 SMS로 재설정된 패스워드 전송 시 |
| 취약: 패스워드 재설정 시 일정 패턴으로 재설정되고 웹 사이트 화면에 바로 출력시 | |
| 조치방법 | 패스워드 복구 로직을 변경하고 인증된 사용자 메일이나 SMS에서만 재설정된 패스워드를 확인 가능라도록 조치 |
점검 및 조치 사례
1) 재설정(또는 패스워드 찾기)되는 패스워드 몇 개를 획득하여 사용자의 연락처, 주소, 메일주소, 일정 패터을 패스워드
로 이용하고 있는지 확인하고 재설정된 패스워드를 인증된 사용자 메일이나 SMS로 전송하는지 확인
※보안설정방법
-사용자 개인 정보(연락처, 주소, 메일 주소 등)로 패스워드를 생성하지 말아야 하며, 난수를 이용한 불규칙적이고 최소
길이(6자 이상 권고) 이상의 패턴이 없는 패스워드를 발급하여야 함
-사용자 패스워드를 발급해주거나 확인해줄 때 웹 사이트 화면에 바로 출력해주는 것이 아니라 인증된 사용자 메일이나
SMS로 전송해주어야 함
참고
www.kisa.or.kr/public/laws/laws3_View.jsp?cPage=6&mode=view&p_No=259&b_No=259&d_No=106&ST=T&SV=
기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원
기술안내서 가이드
www.kisa.or.kr
'웹취약점 > 그누보드' 카테고리의 다른 글
| 취약점점검- 세션 예측 (0) | 2021.01.21 |
|---|---|
| 취약점점검- 크로스사이트 리퀘스트 변조(CSRF) (0) | 2021.01.20 |
| 취약점진단- 불충분한 인증 (0) | 2021.01.18 |
| 취약점점검- 약한 문자열 강도 (0) | 2021.01.15 |
| 취약점점검- 크로스사이트 스크립팅(Xss) (0) | 2021.01.14 |