반응형
정의
불충분한 인증(Insufficient Authentication)은 보안 취약점으로, 애플리케이션 또는 시스템에서 적절한 인증 절차 없이 중요한 기능 또는 자원에 접근할 수 있는 상황을 말합니다.
취약점 발생 지점 리스트
- 인가를 받아야 접근할수 있는 페이지
- 마이페이지
- 게시판
취약점 검증 방법
- 마이페이지 접근시 다시 재인증을 하는가 확인
- 아이디와 비밀번호가 틀려도 로그인할수 있는 경우
- 인증을 아이디만으로 하는 경우
공격법
공격 시나리오
- 공격자는 인증 절차를 우회하거나 무력화시키기 위한 취약점을 탐색합니다.
- 약한 비밀번호를 통해 인증을 우회하거나 인증된 사용자의 세션을 무단으로 탈취합니다.
- 취약점을 통해 중요한 기능이나 자원에 접근하고 악용합니다.
발생 과정
대응방법
- 적절한 인증 절차를 구현하고 강화합니다. 사용자의 신원을 확인하고 권한 검증을 철저히 수행합니다.
- 안전한 비밀번호 정책을 설정하고 강제로 적용합니다. 암호화된 비밀번호 저장 및 안전한 인증 메커니즘을 사용합니다.
- 세션 관리를 신중하게 처리하고 세션에 대한 적절한 타임아웃 및 로그아웃 기능을 구현합니다.
- 보호된 기능 또는 자원에 대한 접근 제어를 강화하여 인가되지 않은 사용자가 접근할 수 없도록 합니다.
반응형
'old > Cyber Security' 카테고리의 다른 글
사이버 보안: 세션 고정이란? (0) | 2023.09.13 |
---|---|
사이버 보안: 취약한 패스워드 복구란? (0) | 2023.09.12 |
사이버 보안: 약한 문자열 강도란? (0) | 2023.09.10 |
사이버 보안: 정보 누출이란? (0) | 2023.09.05 |
사이버 보안: 디렉터리 인덱싱이란? (0) | 2023.09.04 |