비밀번호 설정 규칙 부재 및 brute forcing 허용으로 계정 탈취 가능

Writer 4b8f1687 Program webhacking.kr

WEB Not applicable None No Reward Created: Sep 29, 2021 (3 years ago) Last Updated: Jul 17, 2022 (2 years ago)

Weakness

취약한 비밀번호 허용

Description

개요

비밀번호에 대한 규칙이 부재하고 비밀번호에 대한 brute forcing허용에 의해 계정 탈취 가능

재현 과정

[취약점 재현을 하기 위한 과정을 서술해 주세요]

  1. victim의 계정가입 시, password를 숫자만 입력(예 : 1234)
  2. attacker가 victim의 ID 로 로그인 시, burpsuite tool로 패킷캡쳐
    image
    image
  3. send to intruder후 pw파라미터의 숫자부분을 Add $
    image
  4. sequential하게 numbering 증가시켜 brute forcing attack시도
    image
  5. Results에서 length가 짧은 response 패킷 확인, pw가 1234임이 확인됨
    image

예상되는 취약점 발생 원인

비밀번호 검증 부재, 취약한 비밀번호 허용, KISA및 NIST국제 password입력기준 미달,
반복된 인증시도 제한 기능 부재

패치 방법

패스워드 생성시 강한 조건 검증을 수행한다. 패스워드는 숫자와 영문자, 특수문자 등을 혼합하여 사용하고, 주기적으로 변경하여 사용하도록 해야한다.
인증시도 횟수를 적절한 횟수로 제한하고 설정된 인증실패 횟수를 초과했을 경우 계정을 잠금하거나 추가적인 인증과정을 거쳐서 시스템에 접근이 가능하도록 한다

예상 결과 및 파급력

victim의 계정을 탈취하여 계정로그인 진입 및 비밀번호 수정 가능
challenge 조작 가능

기타사항 및 레퍼런스

기밀성 - 계정탈취
무결성 - 비밀번호 수정 및 challenge 조작

Timeline

4b8f1687 submitted ticket. September 29, 2021 (3 years ago)
rubiya MANAGER changed the severity from 'Critical' to 'None'. October 1, 2021 (3 years ago)
rubiya MANAGER changed the status from 'Submitted' to 'Not applicable'. October 1, 2021 (3 years ago)
rubiya MANAGER changed the disclosure from 'Closed' to 'Disclosed (Full)'. October 1, 2021 (3 years ago)
rubiya MANAGER posted a comment. October 1, 2021 (3 years ago)

발견된 취약점의 영향도가 미비하여 공격자에게 악용될 소지가 현격히 낮은 취약점으로 판단하여 Close하겠습니다.