비밀번호 길이 확인 부족으로 인한 서비스 거부 발생

Writer what_web Program webhacking.kr

WEB Informative Medium No Reward Created: Aug 14, 2021 (3 years ago) Last Updated: Jul 17, 2022 (2 years ago)

Weakness

CWE-400: 통제되지 않은 리소스 소비

Description

안녕하세요. 길이 값 유효성 문제를 테스트하는 동안 비밀번호 길이 제한이 없다는 것을 확인하였습니다.

테스트하는 동안 webhacking.kr 웹 애플리케이션은 일반적으로 RFC에 따라 이메일 주소에 허용되는 최대 길이는 255자로 이를 초과할 수 없었습니다. 그러나 비밀번호 길이에 허용되는 암호의 최대 길이에는 제한이 없으므로 매우 긴 암호를 사용할 수 있음을 확인하였습니다.

매우 긴 암호(1.000.000자)를 보내면 서버에 대한 서비스 거부 공격이 발생할 수 있습니다. 이로 인해 웹 사이트를 사용할 수 없거나 응답하지 않을 수 있습니다. 일반적으로 이 문제는 취약한 암호 해싱 구현으로 인해 발생합니다. 긴 암호를 보내면 암호 해싱 프로세스로 인해 CPU와 메모리가 고갈됩니다.

따라서 허용되는 암호의 최대 길이를 제한하려면 암호 해싱 구현을 수정해야 합니다.

  1. 링크 https://webhacking.kr/login.php?join 로 이동합니다.
  2. 원하는 이메일, ID로 가입을 시도한 다음 비밀번호 필드에 많은 숫자를 입력하여 생성합니다.
  3. 비밀번호 제한이 없음을 확인할 수 있습니다.

많은 양의 데이터를 해싱하면 서버 대신 많은 리소스를 소비할 수 있으므로 서비스 거부 공격의 대상이 되기 쉽습니다.

Timeline

what_web submitted ticket. August 14, 2021 (3 years ago)
rubiya MANAGER changed the status from 'Submitted' to 'In Progress'. August 14, 2021 (3 years ago)
rubiya MANAGER posted a comment. August 14, 2021 (3 years ago)

발견된 취약점의 영향도가 미비하여 공격자에게 악용될 소지가 현격히 낮은 취약점으로 판단하여 Close하겠습니다.

rubiya MANAGER changed the status from 'In Progress' to 'Informative'. August 14, 2021 (3 years ago)
rubiya MANAGER changed the disclosure from 'Closed' to 'Disclosed (Full)'. August 14, 2021 (3 years ago)