비밀번호 길이 확인 부족으로 인한 서비스 거부 발생

안녕하세요. 길이 값 유효성 문제를 테스트하는 동안 비밀번호 길이 제한이 없다는 것을 확인하였습니다.

테스트하는 동안 webhacking.kr 웹 애플리케이션은 일반적으로 RFC에 따라 이메일 주소에 허용되는 최대 길이는 255자로 이를 초과할 수 없었습니다. 그러나 비밀번호 길이에 허용되는 암호의 최대 길이에는 제한이 없으므로 매우 긴 암호를 사용할 수 있음을 확인하였습니다.

매우 긴 암호(1.000.000자)를 보내면 서버에 대한 서비스 거부 공격이 발생할 수 있습니다. 이로 인해 웹 사이트를 사용할 수 없거나 응답하지 않을 수 있습니다. 일반적으로 이 문제는 취약한 암호 해싱 구현으로 인해 발생합니다. 긴 암호를 보내면 암호 해싱 프로세스로 인해 CPU와 메모리가 고갈됩니다.

따라서 허용되는 암호의 최대 길이를 제한하려면 암호 해싱 구현을 수정해야 합니다.

1. 링크 https://webhacking.kr/login.php?join 로 이동합니다.
2. 원하는 이메일, ID로 가입을 시도한 다음 비밀번호 필드에 많은 숫자를 입력하여 생성합니다.
3. 비밀번호 제한이 없음을 확인할 수 있습니다.

많은 양의 데이터를 해싱하면 서버 대신 많은 리소스를 소비할 수 있으므로 서비스 거부 공격의 대상이 되기 쉽습니다.