Notice
Recent Posts
Recent Comments
Link
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | ||
| 6 | 7 | 8 | 9 | 10 | 11 | 12 |
| 13 | 14 | 15 | 16 | 17 | 18 | 19 |
| 20 | 21 | 22 | 23 | 24 | 25 | 26 |
| 27 | 28 | 29 | 30 | 31 |
Tags
- AWS
- 데이터분석
- AI
- 시저암호
- 정보보안
- 파이썬
- vagrant
- 데이터 분석
- 코테
- 회귀분석
- 백준
- 개인정보보호
- 알고리즘
- 마이데이터
- 개인정보보호법
- 머신러닝
- 컴퓨터 구조
- XSS 취약점
- 웹모의해킹
- 코딩테스트
- 클라우드
- 파이썬 문법
- 프로그래머스
- 웹 모의해킹
- 함수
- 데이터3법
- 코딩테스트 연습
- 도커
- docker
- 자료형
Archives
- Today
- Total
찬란하게
[모의해킹] 웹 취약점_인증 및 세션 관리 취약점_Broken authentication 본문
- sql인젝션, XSS : 많이 언급되는 부분이다.
- 인증 취약점 : 정상적인 흐름에서 발생하는 취약점 -> 서버, 시큐어코딩에서 방지가 가능하다.
1. 인증 및 세션 관리 취약점
인증이 필요한 페이지, 관리자 페이지에서 인증과 세션 처리가 로직상 잘못 구현되어 접근이 가능해진다.
따라서 주요 정보가 노출, 다른 사용자 게시물 수정 및 삭제가 가능한 취약점이다.
- 로그인 인증 로직
2. OWASP TOP 2, 2017
Open Web Application Security Project
Broken authentication
Top 2. 손상된 인증.
인증 및 세션 관리와 관련된 기능이 잘못 구현되면 공격자가 암호, 키워드 및 세션을 손상시킨다.
이로 인해 사용자 ID 등이 도용될 수 있다.
- 예 : 웹 응용 프로그램에서 취약하거나 잘 알려진 암호 (예 : "password1") 사용 가능.
- 설루션 :
- 다단계 인증.
- 자동 정적 분석은 결함을 찾는 데 매우 유용하며, 수동 정적 분석은 사용자 지정 인증 체계를 평가하는 데에 도움이 됨. Synopsys의 Coverity SAST 솔루션에는 손상된 인증 취약성을 구체적으로 식별하는 검사기가 포함되어 있음.
3. 요소
1) 관리자 페이지 접근 : 공격자가 spider 등을 통해 로그인 페이지를 거치지 않고 바로 관리자 페이지 접근
2) 파라미터 값 변조 : 게시물 수정, 삭제, 비밀글 읽기 -> 서비스 이해도 높을수록 발견
4. 시니리오
1) 다른 사용자 게시물 수정, 삭제 가능한가?
2) 비밀글 접근 가능한가?
3) 결제 금액 조작 가능한가?
...
'정보보안 > 웹 해킹' 카테고리의 다른 글
| [모의해킹/시행착오] VM Ware 문제점_eth0 IPv6 (0) | 2021.05.07 |
|---|---|
| [웹해킹] OWASP_ZAP 활용_2 (0) | 2021.05.07 |
| [웹해킹] OWASP ZAP 활용_1 (0) | 2021.05.07 |
| [웹해킹] Burp Suite VS OWASP ZAP_취약점 스캐너 도구 비교 (0) | 2021.05.07 |
| [웹해킹] OWASP TOP 10_웹 취약점 (0) | 2021.05.07 |
'정보보안/웹 해킹' Related Articles
more
