비밀번호 설정 규칙 부재 및 brute forcing 허용으로 계정 탈취 가능

작성자 4b8f1687 프로그램 webhacking.kr

WEB 종료됨(무효) 없음 보상없음 작성일: 2021년 9월 29일 (3년 전) 마지막 업데이트일: 2022년 7월 17일 (2년 전)

취약점 유형

취약한 비밀번호 허용

상세내용

개요

비밀번호에 대한 규칙이 부재하고 비밀번호에 대한 brute forcing허용에 의해 계정 탈취 가능

재현 과정

[취약점 재현을 하기 위한 과정을 서술해 주세요]

  1. victim의 계정가입 시, password를 숫자만 입력(예 : 1234)
  2. attacker가 victim의 ID 로 로그인 시, burpsuite tool로 패킷캡쳐
    image
    image
  3. send to intruder후 pw파라미터의 숫자부분을 Add $
    image
  4. sequential하게 numbering 증가시켜 brute forcing attack시도
    image
  5. Results에서 length가 짧은 response 패킷 확인, pw가 1234임이 확인됨
    image

예상되는 취약점 발생 원인

비밀번호 검증 부재, 취약한 비밀번호 허용, KISA및 NIST국제 password입력기준 미달,
반복된 인증시도 제한 기능 부재

패치 방법

패스워드 생성시 강한 조건 검증을 수행한다. 패스워드는 숫자와 영문자, 특수문자 등을 혼합하여 사용하고, 주기적으로 변경하여 사용하도록 해야한다.
인증시도 횟수를 적절한 횟수로 제한하고 설정된 인증실패 횟수를 초과했을 경우 계정을 잠금하거나 추가적인 인증과정을 거쳐서 시스템에 접근이 가능하도록 한다

예상 결과 및 파급력

victim의 계정을 탈취하여 계정로그인 진입 및 비밀번호 수정 가능
challenge 조작 가능

기타사항 및 레퍼런스

기밀성 - 계정탈취
무결성 - 비밀번호 수정 및 challenge 조작

타임라인

4b8f1687 님이 티켓을 제출했습니다. 2021년 9월 29일 (3년 전)
rubiya MANAGER 님이 위험도를 '매우높음'에서 '없음'으로 변경했습니다. 2021년 10월 1일 (3년 전)
rubiya MANAGER 님이 상태를 '제출됨'에서 '종료됨(무효)'으로 변경했습니다. 2021년 10월 1일 (3년 전)
rubiya MANAGER 님이 공개상태를 '비공개'에서 '전체공개'로 변경했습니다. 2021년 10월 1일 (3년 전)
rubiya MANAGER 님이 댓글을 남겼습니다. 2021년 10월 1일 (3년 전)

발견된 취약점의 영향도가 미비하여 공격자에게 악용될 소지가 현격히 낮은 취약점으로 판단하여 Close하겠습니다.