취약점점검- 약한 문자열 강도

약한 문자열 강도 이란?

웹 어플리케이션에서 회원가입 시 안전한 패스워드 규칙이 적용되지 않아 취약한 패스 워드로 회원가입이 가능할 경우 공격자가 추측을 통한 대입 및 주변 정보를 수집하여 작성한 사전(dictionary) 파일을 통한 대입을 시도하여 사용자의 패스워드를 추출할 수 있는 취약점

점검내용	■ 웹페이지 내 로그인 폼 등에 약한 강도의 문자열 사용 여부 점검
점검목적	■ 유추 가능한 취약한 문자열 사용을 제한하여 계정 및 패스워드 추측 공력을 방지하기 위함
보안위협	■ 해당 취약점 존재 시 유추가 용이한 계정 및 패스워드의 사용으로 인한 사용자 권한 탈취 위    험이 존재하며, 해당 위험을 방지하기 위해 값의 적절성 및 복잡성을 검증하는 체크 구현하    여야 함

점검대상 및 판단기준 

대상	■ 그누보드(localhost)
판단기준	양호: 관리자 계정(비밀번호 포함)이 유추하기 어려운 계정으로 설정되어 있는 경우
	취약: 관리자 계정(비밀번호 포함)이 유추하기 쉬운 계정으로 설정되어 있는 경우
조치방법	계정 및 비밀번호 체크 로직 추가 구현

 

점검 및 조치 사례

 

1) 웹 사이트 로그인 페이지의 로그인 창에 추측 가능한 계정이나 패스워드를 입력하여 정상적으로 로그인 되는지 확인

로그인폼

삽입구문: admin, admin

※보안설정방법

-취약한 계정 및 패스워드를 삭제하고, 사용자가 취약한 계정이나 패스워드를 등록하지 못 하도록 패스워드 규정이 반영

 된 체크 로직을 구현하여야 함

ex)

-다음 각 목의 문자 종류 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리
 이상의 길이로 구성
1) 영문 대문자(26개)
2) 영문 소문자(26개)
3) 숫자(10개)
4) 특수문자(32개)
-연속적인 숫자나 생일, 전화번호등 추측하기 쉬운 개인정보 및 아이디와 비슷한 비밀번호 사용하지 안도록 권고 
-비밀번호에 유효기간을 설정하여 반기별 1회 이상 변경

 

참고

www.kisa.or.kr/public/laws/laws3_View.jsp?cPage=6&mode=view&p_No=259&b_No=259&d_No=106&ST=T&SV=

기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원