사이버 보안: 불충분한 인증이란?

정의

불충분한 인증(Insufficient Authentication)은 보안 취약점으로, 애플리케이션 또는 시스템에서 적절한 인증 절차 없이 중요한 기능 또는 자원에 접근할 수 있는 상황을 말합니다.

취약점 발생 지점 리스트

• 인가를 받아야 접근할수 있는 페이지
• 마이페이지
• 게시판

취약점 검증 방법

• 마이페이지 접근시 다시 재인증을 하는가 확인
• 아이디와 비밀번호가 틀려도 로그인할수 있는 경우
• 인증을 아이디만으로 하는 경우

공격법

공격 시나리오

1. 공격자는 인증 절차를 우회하거나 무력화시키기 위한 취약점을 탐색합니다.
2. 약한 비밀번호를 통해 인증을 우회하거나 인증된 사용자의 세션을 무단으로 탈취합니다.
3. 취약점을 통해 중요한 기능이나 자원에 접근하고 악용합니다.

발생 과정

대응방법

• 적절한 인증 절차를 구현하고 강화합니다. 사용자의 신원을 확인하고 권한 검증을 철저히 수행합니다.
• 안전한 비밀번호 정책을 설정하고 강제로 적용합니다. 암호화된 비밀번호 저장 및 안전한 인증 메커니즘을 사용합니다.
• 세션 관리를 신중하게 처리하고 세션에 대한 적절한 타임아웃 및 로그아웃 기능을 구현합니다.
• 보호된 기능 또는 자원에 대한 접근 제어를 강화하여 인가되지 않은 사용자가 접근할 수 없도록 합니다.