코더즈 컨커 시큐리티: 셰어 앤 런 시리즈 - 인증
이 블로그에서는 웹 사이트를 운영하거나 직원들이 컴퓨터 리소스에 원격으로 액세스할 수 있도록 허용하는 조직 (거의 모든 사람) 이 직면하는 가장 일반적인 문제 중 하나를 다룰 것입니다.네, 아마 이번 글에서 인증에 대해 이야기할 것이라고 짐작하셨을 것입니다.
해커가 유효한 사용자 이름과 암호를 사용하여 관리자로 시스템에 로그인하기만 하면 네트워크 방어를 위한 고급 기술을 배포할 필요가 없습니다.시스템은 단순히 문을 열고 공격자가 안으로 들어갈 수 있게 합니다.설상가상으로 공격자가 너무 엉뚱한 행동을 하지 않으면 공격자의 존재를 탐지하는 것이 거의 불가능합니다. 대부분의 방어 체계에서는 공격자가 자신의 업무를 수행하는 유효한 사용자나 관리자로 인식하기 때문입니다.
인증 취약성의 범주는 상당히 크지만, 사용자 로그인 프로세스에 실수로 영향을 받기 쉬운 가장 일반적인 문제를 살펴보겠습니다.이러한 허점을 보완하면 조직에서 발생하는 인증 문제의 대부분을 제거할 수 있습니다.
이 에피소드에서는 다음을 배우게 됩니다.
- 몇 가지 일반적인 인증 취약점이 악용되는 방법
- 왜 그렇게 위험한가요?
- 인증 취약점을 제거하는 데 사용할 수 있는 정책과 기술은 무엇입니까?
공격자는 인증 취약점을 어떻게 악용합니까?
인증 시스템에 침투할 수 있는 인증 취약점이 상당히 많기 때문에 해커들은 각 취약점을 약간씩 다르게 악용합니다.먼저 가장 일반적인 취약점을 살펴보고 그 중 몇 가지가 어떻게 악용될 수 있는지 보여주는 예를 들어 보겠습니다.
가장 일반적인 인증 취약점은 다음과 같습니다.
- 암호 정책이 약하거나 부적절한 경우
- 무제한 로그인 시도 허용,
- 로그인 실패 시 공격자에게 정보 제공
- 안전하지 않은 채널을 통한 자격 증명 전송
- 암호 해싱이 약합니다.
- 그리고 암호 복구 프로세스가 안전하지 않습니다.
암호 정책이 취약하다는 것이 가장 일반적인 취약점일 수 있습니다.사용자가 제한 없이 암호를 만들 수 있게 허용하면 추측 가능한 암호를 사용하는 사용자가 너무 많습니다.매년 여러 컴퓨터 뉴스에서는 가장 많이 사용되는 암호 목록을 발표하는데, “123456"과 “password”는 항상 상위 5위 안에 들었습니다.다른 것들도 있습니다.관리자는 “God”를 꽤 많이 사용하는 것을 좋아합니다.사실, 모두 유머러스하거나 기억하기 쉬울 뿐만 아니라 추측하기도 매우 쉽습니다.해커는 가장 일반적인 암호가 무엇인지 알고 있으며 시스템 침해를 시도할 때 가장 먼저 시도합니다.조직에서 이러한 종류의 암호를 허용하면 결국에는 보안 침해를 당할 수 있습니다.
덜 분명하지만 여전히 위험한 취약점은 로그인 실패와 관련된 정보를 사용자에게 다시 제공하는 것입니다.이는 좋지 않습니다. 사용자 이름이 존재하지 않을 때 하나의 메시지를 반환하고 사용자 이름은 존재하지만 암호가 잘못된 경우 다른 메시지를 반환하면 공격자가 시스템에서 유효한 사용자를 찾아내어 해당 사용자 이름에 대한 암호를 추측하는 데 집중할 수 있기 때문입니다.여기에 무제한 암호 추측을 허용하는 인증 취약점이 결합되면 공격자는 찾은 유효한 사용자에 대해 사전 공격을 실행할 수 있으며, 암호를 쉽게 추측할 수 있는 경우 상당히 빠르게 시스템에 침입할 수 있습니다.
인증 취약점이 왜 그렇게 위험한가요?
미국 구서부 (American Old West) 에는 편집증적인 농가가 현관문에 세 개의 자물쇠를 설치하고 창문에 올라가 손이 쉽게 닿을 수 있는 곳에서 총을 많이 들고 잠을 잤다는 이야기가 전해집니다.아침에 그는 죽은 채로 발견되었어요.뒷문을 잠그는 걸 잊었기 때문에 공격자들이 그를 잡았어요인증 취약점은 이와 매우 비슷합니다.공격자가 유효한 사용자 이름과 암호를 사용하여 네트워크에 침입할 수 있는지, 어떤 종류의 모니터링 도구나 사전 제어 기능을 갖추고 있는지, 얼마나 많은 전문 분석가를 고용하는지는 중요하지 않습니다.
일단 안으로 들어가면 공격자가 할 수 있는 일에 대한 제한이 거의 없습니다.공격자가 관리자 계정을 침해한 경우 상당히 광범위할 수 있는 사용자 권한 내에서 행동하는 한, 심각한 문제를 미연에 방지할 가능성은 거의 없습니다.따라서 인증 등급의 취약성은 모든 시스템에서 발생할 수 있는 가장 위험한 취약점 중 하나입니다.
인증 취약성 제거
네트워크에서 인증 취약점을 제거하는 가장 좋은 방법 중 하나는 전 세계적으로 적용되는 적절한 암호 정책을 마련하는 것입니다.사용자, 심지어 관리자도 “암호”와 같은 암호를 사용하지 못하도록 제한해야 할 뿐만 아니라 공격자가 사전이나 일반적인 문구 유형의 공격을 적용할 수 없도록 복잡성을 추가하도록 강요해야 합니다.보호되는 시스템의 중요도에 따라 암호 생성에 대한 자체 규칙을 마련할 수 있습니다.이렇게 하면 공격자가 암호를 추측하거나 무차별 대입하기가 훨씬 더 어려워집니다.
또한 잘못된 암호를 세 번 이상 입력하면 사용자가 잠기도록 로그인 실패 횟수를 제한해야 합니다.잠금은 일시적일 수 있습니다. 단 몇 분만 지연되어도 자동 딕셔너리 공격이 계속되는 것을 막을 수 있기 때문입니다.또는 관리자가 계정을 잠금 해제하지 않는 한 영구적일 수도 있습니다.어떤 경우든 이러한 잠금이 발생할 때마다 보안 담당자에게 알려 상황을 모니터링할 수 있도록 해야 합니다.
공격자가 정보를 수집하지 못하도록 방지하는 또 다른 좋은 방법은 잘못된 사용자 이름이나 암호를 입력할 때마다 일반적인 메시지를 작성하는 것입니다.사용자가 존재하지 않거나 잘못된 암호를 사용하여 거부되었는지 해커가 알 수 없도록 두 경우 모두 동일해야 합니다.
인증 취약성은 대부분의 시스템에서 가장 흔하고 위험합니다.하지만 발견하고 제거하기도 매우 쉽습니다.
인증 취약성에 대한 추가 정보
자세한 내용은 OWASP를 참조하십시오. 인증 치트 시트.또한 다음과 같이 새로 발견한 방어 지식을 테스트할 수 있습니다. 무료 데모 사이버 보안 팀이 궁극의 사이버 전사가 될 수 있도록 교육하는 Secure Code Warrior 플랫폼을 활용했습니다.이 취약점을 해결하는 방법과 기타 위협의 도적 갤러리를 자세히 알아보려면 다음 사이트를 방문하십시오. 시큐어 코드 워리어 블로그.
한 걸음 더 나아가 시큐어 코드 워리어 플랫폼의 인증 취약점에 정면으로 맞서세요. [여기서 시작]
웹 사이트를 운영하거나 직원들이 컴퓨터 리소스에 원격으로 액세스할 수 있도록 하는 조직, 즉 거의 모든 사람이 직면하는 가장 일반적인 문제 중 하나를 다루겠습니다.네, 아마도 우리가 인증에 대해 이야기할 것이라고 짐작하셨을 것입니다.
Jaap Karan Singhは、Secure Coding Evangelistであり、Chief Singhであり、Secure Code Warrior の共同設立者です。
セキュアコードウォリアーは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を組織に根付かせるために存在します。AppSec管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、組織が安全でないコードに関連するリスクを軽減できるよう支援します。
デモ予約
Jaap Karan Singhは、Secure Coding Evangelistであり、Chief Singhであり、Secure Code Warrior の共同設立者です。
이 블로그에서는 웹 사이트를 운영하거나 직원들이 컴퓨터 리소스에 원격으로 액세스할 수 있도록 허용하는 조직 (거의 모든 사람) 이 직면하는 가장 일반적인 문제 중 하나를 다룰 것입니다.네, 아마 이번 글에서 인증에 대해 이야기할 것이라고 짐작하셨을 것입니다.
해커가 유효한 사용자 이름과 암호를 사용하여 관리자로 시스템에 로그인하기만 하면 네트워크 방어를 위한 고급 기술을 배포할 필요가 없습니다.시스템은 단순히 문을 열고 공격자가 안으로 들어갈 수 있게 합니다.설상가상으로 공격자가 너무 엉뚱한 행동을 하지 않으면 공격자의 존재를 탐지하는 것이 거의 불가능합니다. 대부분의 방어 체계에서는 공격자가 자신의 업무를 수행하는 유효한 사용자나 관리자로 인식하기 때문입니다.
인증 취약성의 범주는 상당히 크지만, 사용자 로그인 프로세스에 실수로 영향을 받기 쉬운 가장 일반적인 문제를 살펴보겠습니다.이러한 허점을 보완하면 조직에서 발생하는 인증 문제의 대부분을 제거할 수 있습니다.
이 에피소드에서는 다음을 배우게 됩니다.
- 몇 가지 일반적인 인증 취약점이 악용되는 방법
- 왜 그렇게 위험한가요?
- 인증 취약점을 제거하는 데 사용할 수 있는 정책과 기술은 무엇입니까?
공격자는 인증 취약점을 어떻게 악용합니까?
인증 시스템에 침투할 수 있는 인증 취약점이 상당히 많기 때문에 해커들은 각 취약점을 약간씩 다르게 악용합니다.먼저 가장 일반적인 취약점을 살펴보고 그 중 몇 가지가 어떻게 악용될 수 있는지 보여주는 예를 들어 보겠습니다.
가장 일반적인 인증 취약점은 다음과 같습니다.
- 암호 정책이 약하거나 부적절한 경우
- 무제한 로그인 시도 허용,
- 로그인 실패 시 공격자에게 정보 제공
- 안전하지 않은 채널을 통한 자격 증명 전송
- 암호 해싱이 약합니다.
- 그리고 암호 복구 프로세스가 안전하지 않습니다.
암호 정책이 취약하다는 것이 가장 일반적인 취약점일 수 있습니다.사용자가 제한 없이 암호를 만들 수 있게 허용하면 추측 가능한 암호를 사용하는 사용자가 너무 많습니다.매년 여러 컴퓨터 뉴스에서는 가장 많이 사용되는 암호 목록을 발표하는데, “123456"과 “password”는 항상 상위 5위 안에 들었습니다.다른 것들도 있습니다.관리자는 “God”를 꽤 많이 사용하는 것을 좋아합니다.사실, 모두 유머러스하거나 기억하기 쉬울 뿐만 아니라 추측하기도 매우 쉽습니다.해커는 가장 일반적인 암호가 무엇인지 알고 있으며 시스템 침해를 시도할 때 가장 먼저 시도합니다.조직에서 이러한 종류의 암호를 허용하면 결국에는 보안 침해를 당할 수 있습니다.
덜 분명하지만 여전히 위험한 취약점은 로그인 실패와 관련된 정보를 사용자에게 다시 제공하는 것입니다.이는 좋지 않습니다. 사용자 이름이 존재하지 않을 때 하나의 메시지를 반환하고 사용자 이름은 존재하지만 암호가 잘못된 경우 다른 메시지를 반환하면 공격자가 시스템에서 유효한 사용자를 찾아내어 해당 사용자 이름에 대한 암호를 추측하는 데 집중할 수 있기 때문입니다.여기에 무제한 암호 추측을 허용하는 인증 취약점이 결합되면 공격자는 찾은 유효한 사용자에 대해 사전 공격을 실행할 수 있으며, 암호를 쉽게 추측할 수 있는 경우 상당히 빠르게 시스템에 침입할 수 있습니다.
인증 취약점이 왜 그렇게 위험한가요?
미국 구서부 (American Old West) 에는 편집증적인 농가가 현관문에 세 개의 자물쇠를 설치하고 창문에 올라가 손이 쉽게 닿을 수 있는 곳에서 총을 많이 들고 잠을 잤다는 이야기가 전해집니다.아침에 그는 죽은 채로 발견되었어요.뒷문을 잠그는 걸 잊었기 때문에 공격자들이 그를 잡았어요인증 취약점은 이와 매우 비슷합니다.공격자가 유효한 사용자 이름과 암호를 사용하여 네트워크에 침입할 수 있는지, 어떤 종류의 모니터링 도구나 사전 제어 기능을 갖추고 있는지, 얼마나 많은 전문 분석가를 고용하는지는 중요하지 않습니다.
일단 안으로 들어가면 공격자가 할 수 있는 일에 대한 제한이 거의 없습니다.공격자가 관리자 계정을 침해한 경우 상당히 광범위할 수 있는 사용자 권한 내에서 행동하는 한, 심각한 문제를 미연에 방지할 가능성은 거의 없습니다.따라서 인증 등급의 취약성은 모든 시스템에서 발생할 수 있는 가장 위험한 취약점 중 하나입니다.
인증 취약성 제거
네트워크에서 인증 취약점을 제거하는 가장 좋은 방법 중 하나는 전 세계적으로 적용되는 적절한 암호 정책을 마련하는 것입니다.사용자, 심지어 관리자도 “암호”와 같은 암호를 사용하지 못하도록 제한해야 할 뿐만 아니라 공격자가 사전이나 일반적인 문구 유형의 공격을 적용할 수 없도록 복잡성을 추가하도록 강요해야 합니다.보호되는 시스템의 중요도에 따라 암호 생성에 대한 자체 규칙을 마련할 수 있습니다.이렇게 하면 공격자가 암호를 추측하거나 무차별 대입하기가 훨씬 더 어려워집니다.
또한 잘못된 암호를 세 번 이상 입력하면 사용자가 잠기도록 로그인 실패 횟수를 제한해야 합니다.잠금은 일시적일 수 있습니다. 단 몇 분만 지연되어도 자동 딕셔너리 공격이 계속되는 것을 막을 수 있기 때문입니다.또는 관리자가 계정을 잠금 해제하지 않는 한 영구적일 수도 있습니다.어떤 경우든 이러한 잠금이 발생할 때마다 보안 담당자에게 알려 상황을 모니터링할 수 있도록 해야 합니다.
공격자가 정보를 수집하지 못하도록 방지하는 또 다른 좋은 방법은 잘못된 사용자 이름이나 암호를 입력할 때마다 일반적인 메시지를 작성하는 것입니다.사용자가 존재하지 않거나 잘못된 암호를 사용하여 거부되었는지 해커가 알 수 없도록 두 경우 모두 동일해야 합니다.
인증 취약성은 대부분의 시스템에서 가장 흔하고 위험합니다.하지만 발견하고 제거하기도 매우 쉽습니다.
인증 취약성에 대한 추가 정보
자세한 내용은 OWASP를 참조하십시오. 인증 치트 시트.또한 다음과 같이 새로 발견한 방어 지식을 테스트할 수 있습니다. 무료 데모 사이버 보안 팀이 궁극의 사이버 전사가 될 수 있도록 교육하는 Secure Code Warrior 플랫폼을 활용했습니다.이 취약점을 해결하는 방법과 기타 위협의 도적 갤러리를 자세히 알아보려면 다음 사이트를 방문하십시오. 시큐어 코드 워리어 블로그.
한 걸음 더 나아가 시큐어 코드 워리어 플랫폼의 인증 취약점에 정면으로 맞서세요. [여기서 시작]
이 블로그에서는 웹 사이트를 운영하거나 직원들이 컴퓨터 리소스에 원격으로 액세스할 수 있도록 허용하는 조직 (거의 모든 사람) 이 직면하는 가장 일반적인 문제 중 하나를 다룰 것입니다.네, 아마 이번 글에서 인증에 대해 이야기할 것이라고 짐작하셨을 것입니다.
해커가 유효한 사용자 이름과 암호를 사용하여 관리자로 시스템에 로그인하기만 하면 네트워크 방어를 위한 고급 기술을 배포할 필요가 없습니다.시스템은 단순히 문을 열고 공격자가 안으로 들어갈 수 있게 합니다.설상가상으로 공격자가 너무 엉뚱한 행동을 하지 않으면 공격자의 존재를 탐지하는 것이 거의 불가능합니다. 대부분의 방어 체계에서는 공격자가 자신의 업무를 수행하는 유효한 사용자나 관리자로 인식하기 때문입니다.
인증 취약성의 범주는 상당히 크지만, 사용자 로그인 프로세스에 실수로 영향을 받기 쉬운 가장 일반적인 문제를 살펴보겠습니다.이러한 허점을 보완하면 조직에서 발생하는 인증 문제의 대부분을 제거할 수 있습니다.
이 에피소드에서는 다음을 배우게 됩니다.
- 몇 가지 일반적인 인증 취약점이 악용되는 방법
- 왜 그렇게 위험한가요?
- 인증 취약점을 제거하는 데 사용할 수 있는 정책과 기술은 무엇입니까?
공격자는 인증 취약점을 어떻게 악용합니까?
인증 시스템에 침투할 수 있는 인증 취약점이 상당히 많기 때문에 해커들은 각 취약점을 약간씩 다르게 악용합니다.먼저 가장 일반적인 취약점을 살펴보고 그 중 몇 가지가 어떻게 악용될 수 있는지 보여주는 예를 들어 보겠습니다.
가장 일반적인 인증 취약점은 다음과 같습니다.
- 암호 정책이 약하거나 부적절한 경우
- 무제한 로그인 시도 허용,
- 로그인 실패 시 공격자에게 정보 제공
- 안전하지 않은 채널을 통한 자격 증명 전송
- 암호 해싱이 약합니다.
- 그리고 암호 복구 프로세스가 안전하지 않습니다.
암호 정책이 취약하다는 것이 가장 일반적인 취약점일 수 있습니다.사용자가 제한 없이 암호를 만들 수 있게 허용하면 추측 가능한 암호를 사용하는 사용자가 너무 많습니다.매년 여러 컴퓨터 뉴스에서는 가장 많이 사용되는 암호 목록을 발표하는데, “123456"과 “password”는 항상 상위 5위 안에 들었습니다.다른 것들도 있습니다.관리자는 “God”를 꽤 많이 사용하는 것을 좋아합니다.사실, 모두 유머러스하거나 기억하기 쉬울 뿐만 아니라 추측하기도 매우 쉽습니다.해커는 가장 일반적인 암호가 무엇인지 알고 있으며 시스템 침해를 시도할 때 가장 먼저 시도합니다.조직에서 이러한 종류의 암호를 허용하면 결국에는 보안 침해를 당할 수 있습니다.
덜 분명하지만 여전히 위험한 취약점은 로그인 실패와 관련된 정보를 사용자에게 다시 제공하는 것입니다.이는 좋지 않습니다. 사용자 이름이 존재하지 않을 때 하나의 메시지를 반환하고 사용자 이름은 존재하지만 암호가 잘못된 경우 다른 메시지를 반환하면 공격자가 시스템에서 유효한 사용자를 찾아내어 해당 사용자 이름에 대한 암호를 추측하는 데 집중할 수 있기 때문입니다.여기에 무제한 암호 추측을 허용하는 인증 취약점이 결합되면 공격자는 찾은 유효한 사용자에 대해 사전 공격을 실행할 수 있으며, 암호를 쉽게 추측할 수 있는 경우 상당히 빠르게 시스템에 침입할 수 있습니다.
인증 취약점이 왜 그렇게 위험한가요?
미국 구서부 (American Old West) 에는 편집증적인 농가가 현관문에 세 개의 자물쇠를 설치하고 창문에 올라가 손이 쉽게 닿을 수 있는 곳에서 총을 많이 들고 잠을 잤다는 이야기가 전해집니다.아침에 그는 죽은 채로 발견되었어요.뒷문을 잠그는 걸 잊었기 때문에 공격자들이 그를 잡았어요인증 취약점은 이와 매우 비슷합니다.공격자가 유효한 사용자 이름과 암호를 사용하여 네트워크에 침입할 수 있는지, 어떤 종류의 모니터링 도구나 사전 제어 기능을 갖추고 있는지, 얼마나 많은 전문 분석가를 고용하는지는 중요하지 않습니다.
일단 안으로 들어가면 공격자가 할 수 있는 일에 대한 제한이 거의 없습니다.공격자가 관리자 계정을 침해한 경우 상당히 광범위할 수 있는 사용자 권한 내에서 행동하는 한, 심각한 문제를 미연에 방지할 가능성은 거의 없습니다.따라서 인증 등급의 취약성은 모든 시스템에서 발생할 수 있는 가장 위험한 취약점 중 하나입니다.
인증 취약성 제거
네트워크에서 인증 취약점을 제거하는 가장 좋은 방법 중 하나는 전 세계적으로 적용되는 적절한 암호 정책을 마련하는 것입니다.사용자, 심지어 관리자도 “암호”와 같은 암호를 사용하지 못하도록 제한해야 할 뿐만 아니라 공격자가 사전이나 일반적인 문구 유형의 공격을 적용할 수 없도록 복잡성을 추가하도록 강요해야 합니다.보호되는 시스템의 중요도에 따라 암호 생성에 대한 자체 규칙을 마련할 수 있습니다.이렇게 하면 공격자가 암호를 추측하거나 무차별 대입하기가 훨씬 더 어려워집니다.
또한 잘못된 암호를 세 번 이상 입력하면 사용자가 잠기도록 로그인 실패 횟수를 제한해야 합니다.잠금은 일시적일 수 있습니다. 단 몇 분만 지연되어도 자동 딕셔너리 공격이 계속되는 것을 막을 수 있기 때문입니다.또는 관리자가 계정을 잠금 해제하지 않는 한 영구적일 수도 있습니다.어떤 경우든 이러한 잠금이 발생할 때마다 보안 담당자에게 알려 상황을 모니터링할 수 있도록 해야 합니다.
공격자가 정보를 수집하지 못하도록 방지하는 또 다른 좋은 방법은 잘못된 사용자 이름이나 암호를 입력할 때마다 일반적인 메시지를 작성하는 것입니다.사용자가 존재하지 않거나 잘못된 암호를 사용하여 거부되었는지 해커가 알 수 없도록 두 경우 모두 동일해야 합니다.
인증 취약성은 대부분의 시스템에서 가장 흔하고 위험합니다.하지만 발견하고 제거하기도 매우 쉽습니다.
인증 취약성에 대한 추가 정보
자세한 내용은 OWASP를 참조하십시오. 인증 치트 시트.또한 다음과 같이 새로 발견한 방어 지식을 테스트할 수 있습니다. 무료 데모 사이버 보안 팀이 궁극의 사이버 전사가 될 수 있도록 교육하는 Secure Code Warrior 플랫폼을 활용했습니다.이 취약점을 해결하는 방법과 기타 위협의 도적 갤러리를 자세히 알아보려면 다음 사이트를 방문하십시오. 시큐어 코드 워리어 블로그.
한 걸음 더 나아가 시큐어 코드 워리어 플랫폼의 인증 취약점에 정면으로 맞서세요. [여기서 시작]
以下のリンクをクリックし、このリソースのPDFをダウンロードしてください。
セキュアコードウォリアーは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を組織に根付かせるために存在します。AppSec管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、組織が安全でないコードに関連するリスクを軽減できるよう支援します。
レポートを見るデモ予約
Jaap Karan Singhは、Secure Coding Evangelistであり、Chief Singhであり、Secure Code Warrior の共同設立者です。
이 블로그에서는 웹 사이트를 운영하거나 직원들이 컴퓨터 리소스에 원격으로 액세스할 수 있도록 허용하는 조직 (거의 모든 사람) 이 직면하는 가장 일반적인 문제 중 하나를 다룰 것입니다.네, 아마 이번 글에서 인증에 대해 이야기할 것이라고 짐작하셨을 것입니다.
해커가 유효한 사용자 이름과 암호를 사용하여 관리자로 시스템에 로그인하기만 하면 네트워크 방어를 위한 고급 기술을 배포할 필요가 없습니다.시스템은 단순히 문을 열고 공격자가 안으로 들어갈 수 있게 합니다.설상가상으로 공격자가 너무 엉뚱한 행동을 하지 않으면 공격자의 존재를 탐지하는 것이 거의 불가능합니다. 대부분의 방어 체계에서는 공격자가 자신의 업무를 수행하는 유효한 사용자나 관리자로 인식하기 때문입니다.
인증 취약성의 범주는 상당히 크지만, 사용자 로그인 프로세스에 실수로 영향을 받기 쉬운 가장 일반적인 문제를 살펴보겠습니다.이러한 허점을 보완하면 조직에서 발생하는 인증 문제의 대부분을 제거할 수 있습니다.
이 에피소드에서는 다음을 배우게 됩니다.
- 몇 가지 일반적인 인증 취약점이 악용되는 방법
- 왜 그렇게 위험한가요?
- 인증 취약점을 제거하는 데 사용할 수 있는 정책과 기술은 무엇입니까?
공격자는 인증 취약점을 어떻게 악용합니까?
인증 시스템에 침투할 수 있는 인증 취약점이 상당히 많기 때문에 해커들은 각 취약점을 약간씩 다르게 악용합니다.먼저 가장 일반적인 취약점을 살펴보고 그 중 몇 가지가 어떻게 악용될 수 있는지 보여주는 예를 들어 보겠습니다.
가장 일반적인 인증 취약점은 다음과 같습니다.
- 암호 정책이 약하거나 부적절한 경우
- 무제한 로그인 시도 허용,
- 로그인 실패 시 공격자에게 정보 제공
- 안전하지 않은 채널을 통한 자격 증명 전송
- 암호 해싱이 약합니다.
- 그리고 암호 복구 프로세스가 안전하지 않습니다.
암호 정책이 취약하다는 것이 가장 일반적인 취약점일 수 있습니다.사용자가 제한 없이 암호를 만들 수 있게 허용하면 추측 가능한 암호를 사용하는 사용자가 너무 많습니다.매년 여러 컴퓨터 뉴스에서는 가장 많이 사용되는 암호 목록을 발표하는데, “123456"과 “password”는 항상 상위 5위 안에 들었습니다.다른 것들도 있습니다.관리자는 “God”를 꽤 많이 사용하는 것을 좋아합니다.사실, 모두 유머러스하거나 기억하기 쉬울 뿐만 아니라 추측하기도 매우 쉽습니다.해커는 가장 일반적인 암호가 무엇인지 알고 있으며 시스템 침해를 시도할 때 가장 먼저 시도합니다.조직에서 이러한 종류의 암호를 허용하면 결국에는 보안 침해를 당할 수 있습니다.
덜 분명하지만 여전히 위험한 취약점은 로그인 실패와 관련된 정보를 사용자에게 다시 제공하는 것입니다.이는 좋지 않습니다. 사용자 이름이 존재하지 않을 때 하나의 메시지를 반환하고 사용자 이름은 존재하지만 암호가 잘못된 경우 다른 메시지를 반환하면 공격자가 시스템에서 유효한 사용자를 찾아내어 해당 사용자 이름에 대한 암호를 추측하는 데 집중할 수 있기 때문입니다.여기에 무제한 암호 추측을 허용하는 인증 취약점이 결합되면 공격자는 찾은 유효한 사용자에 대해 사전 공격을 실행할 수 있으며, 암호를 쉽게 추측할 수 있는 경우 상당히 빠르게 시스템에 침입할 수 있습니다.
인증 취약점이 왜 그렇게 위험한가요?
미국 구서부 (American Old West) 에는 편집증적인 농가가 현관문에 세 개의 자물쇠를 설치하고 창문에 올라가 손이 쉽게 닿을 수 있는 곳에서 총을 많이 들고 잠을 잤다는 이야기가 전해집니다.아침에 그는 죽은 채로 발견되었어요.뒷문을 잠그는 걸 잊었기 때문에 공격자들이 그를 잡았어요인증 취약점은 이와 매우 비슷합니다.공격자가 유효한 사용자 이름과 암호를 사용하여 네트워크에 침입할 수 있는지, 어떤 종류의 모니터링 도구나 사전 제어 기능을 갖추고 있는지, 얼마나 많은 전문 분석가를 고용하는지는 중요하지 않습니다.
일단 안으로 들어가면 공격자가 할 수 있는 일에 대한 제한이 거의 없습니다.공격자가 관리자 계정을 침해한 경우 상당히 광범위할 수 있는 사용자 권한 내에서 행동하는 한, 심각한 문제를 미연에 방지할 가능성은 거의 없습니다.따라서 인증 등급의 취약성은 모든 시스템에서 발생할 수 있는 가장 위험한 취약점 중 하나입니다.
인증 취약성 제거
네트워크에서 인증 취약점을 제거하는 가장 좋은 방법 중 하나는 전 세계적으로 적용되는 적절한 암호 정책을 마련하는 것입니다.사용자, 심지어 관리자도 “암호”와 같은 암호를 사용하지 못하도록 제한해야 할 뿐만 아니라 공격자가 사전이나 일반적인 문구 유형의 공격을 적용할 수 없도록 복잡성을 추가하도록 강요해야 합니다.보호되는 시스템의 중요도에 따라 암호 생성에 대한 자체 규칙을 마련할 수 있습니다.이렇게 하면 공격자가 암호를 추측하거나 무차별 대입하기가 훨씬 더 어려워집니다.
또한 잘못된 암호를 세 번 이상 입력하면 사용자가 잠기도록 로그인 실패 횟수를 제한해야 합니다.잠금은 일시적일 수 있습니다. 단 몇 분만 지연되어도 자동 딕셔너리 공격이 계속되는 것을 막을 수 있기 때문입니다.또는 관리자가 계정을 잠금 해제하지 않는 한 영구적일 수도 있습니다.어떤 경우든 이러한 잠금이 발생할 때마다 보안 담당자에게 알려 상황을 모니터링할 수 있도록 해야 합니다.
공격자가 정보를 수집하지 못하도록 방지하는 또 다른 좋은 방법은 잘못된 사용자 이름이나 암호를 입력할 때마다 일반적인 메시지를 작성하는 것입니다.사용자가 존재하지 않거나 잘못된 암호를 사용하여 거부되었는지 해커가 알 수 없도록 두 경우 모두 동일해야 합니다.
인증 취약성은 대부분의 시스템에서 가장 흔하고 위험합니다.하지만 발견하고 제거하기도 매우 쉽습니다.
인증 취약성에 대한 추가 정보
자세한 내용은 OWASP를 참조하십시오. 인증 치트 시트.또한 다음과 같이 새로 발견한 방어 지식을 테스트할 수 있습니다. 무료 데모 사이버 보안 팀이 궁극의 사이버 전사가 될 수 있도록 교육하는 Secure Code Warrior 플랫폼을 활용했습니다.이 취약점을 해결하는 방법과 기타 위협의 도적 갤러리를 자세히 알아보려면 다음 사이트를 방문하십시오. 시큐어 코드 워리어 블로그.
한 걸음 더 나아가 시큐어 코드 워리어 플랫폼의 인증 취약점에 정면으로 맞서세요. [여기서 시작]
%20(1).avif)
.avif)
