Part 2 : OWASP 2017 TOP 10 RC2 A2 - 인증 취약점[Broken Authentication]

 

 

A2 : 인증 취약점[Broken Authentication]

 

 

* 정의

인증 및 세션 관리와 관련된 어플리케이션 기능이 종종 잘못 구현되어 공격자에게 취약한 암호, 키 또는 세션 토큰을 제공하여, 다른 사용자의 권한을 얻도록 착취하는 것을 말합니다. 

 

- 사이버 공격 형태 : 공격자는 암호나 키, 세션 쿠키, 기타 인증 관련 토큰을 공격하여 인증을 우회하고 다른 사용자의 ID를 가장 .Cookie Poisoning ․Session Replay

 

- 취약점 점검 방법 

  ․ Javascript : document.cookie로 점검 

  ․ DB서버에 저장된 사용자 정보의 raw데이터 열람 가능

  ․계정의 패스워드를 유추할 수 있는지 점검 

  ․쿠키 인증 시 쿠키 값의 변조로 인증을 통과할 수 있는지 점검

 

---

 

* 대응방법

 

1. 강력한 패스워드 정책
2. 전송 중의 자격증명 보호
    ․SSL과 같은 로그인 트랜젝션 전체를 암호화
3. 서버 측 인증 기술 사용 
   ․Hidden Field, Client Side Cookie 보다는 Server Side의 Session ID 사용
4. 인증 관련 정보는 Get 방식이 아닌 Post 방식으로 요청 
5. 동시 로그인 금지 및 암호화 채널 사용

 

 

---

 

* 실제 사례

 

[보안뉴스]이번엔 레드햇과 시스코, 끊임없이 발견되는 보안 취약점 2016-10-16 23:36 레드햇, Apache Tomcat 취약점 보안 업데이트 발표 시스코 제품군 제로데이 취약점 다수 발견...패치 발표 때까지 임시 조치 필요   시스코 사는 자사의 제품에 영향을 주는 몇 가지 취약점을 발표했다. 공격자는 해당 취약점을 악용해 인증 우회, 서비스 거부 등의 피해를 발생시킬 수 있으므로 해당 보안 업데이트가 발표될 때까지 임시 조치가 필요하다. 취약점의 세부 내용과 임시 조치 사항은 다음과 같다.     ·CVE-2016-6445 : Meeting Server의 XMPP 서비스에서 발생하는 클라이언트 인증 우회 취약점 -> Cisco Systems Download Software 홈페이지에 직접 방문하여 최신 업데이트 적용   ·CVE-2016-6437 : Wide Area Application Service(WAAS)의 SSL 세션 캐시 관리에서 발생하는 서비스 거부 취약점 -> 디스크로부터 SSL 캐시 파일 삭제 권고    출처 : http://www.boannews.com/media/view.asp?idx=52067&kind=1

 

그럼 Part 3로 넘어갑니당 ~

 

Part 3 : OWASP 2017 TOP 10 RC2 A3 - 민감한 데이터 노출[Sensitive Data Exposure]

 

<지난 파트>

 

Part 1 : OWASP 2017 TOP 10 RC2 A1 - 인젝션[Injection]

Part 0 : OWASP TOP 10 정의