Weakness
취약한 비밀번호 허용
Description
개요
비밀번호에 대한 규칙이 부재하고 비밀번호에 대한 brute forcing허용에 의해 계정 탈취 가능
재현 과정
[취약점 재현을 하기 위한 과정을 서술해 주세요]
- victim의 계정가입 시, password를 숫자만 입력(예 : 1234)
- attacker가 victim의 ID 로 로그인 시, burpsuite tool로 패킷캡쳐
- send to intruder후 pw파라미터의 숫자부분을 Add $
- sequential하게 numbering 증가시켜 brute forcing attack시도
- Results에서 length가 짧은 response 패킷 확인, pw가 1234임이 확인됨
예상되는 취약점 발생 원인
비밀번호 검증 부재, 취약한 비밀번호 허용, KISA및 NIST국제 password입력기준 미달,
반복된 인증시도 제한 기능 부재
패치 방법
패스워드 생성시 강한 조건 검증을 수행한다. 패스워드는 숫자와 영문자, 특수문자 등을 혼합하여 사용하고, 주기적으로 변경하여 사용하도록 해야한다.
인증시도 횟수를 적절한 횟수로 제한하고 설정된 인증실패 횟수를 초과했을 경우 계정을 잠금하거나 추가적인 인증과정을 거쳐서 시스템에 접근이 가능하도록 한다
예상 결과 및 파급력
victim의 계정을 탈취하여 계정로그인 진입 및 비밀번호 수정 가능
challenge 조작 가능
기타사항 및 레퍼런스
기밀성 - 계정탈취
무결성 - 비밀번호 수정 및 challenge 조작
발견된 취약점의 영향도가 미비하여 공격자에게 악용될 소지가 현격히 낮은 취약점으로 판단하여 Close하겠습니다.