* 본 내용은 정보보안 모의프로젝트 자료입니다 *
1) 계정정보 추측 및 대입 [A-01]
[그림 3-4] 무차별 대입 공격 시나리오
Brute Force란? 무차별로 임의의 문자를 조합해 하나씩 대입해 보는 공격 기법이다. 그야말로 일치할 때까지 모든 경우의 수를 시도한다.
[그림 3-4]는 Brute Force의 심화 공격인 사전 대입 공격이다.
미리 정의된 문자열 목록을 .txt 파일에 저장하여 하나씩 대입하며 오랜 시간 끝에 결국은 공격을 허용하게 된다.
2-2) 취약점 점검
[그림 3-5] 공격 페이지(login.asp)
본 점검은 Line Studio 로그인 폼에서 실시하였습니다.
[그림 3-6] 임의 값의 파라미터 확인
아이디와 비밀번호를 전송하는 파라미터를 확인하여 해당 부분의 값만을 계속 변경하여 로그인 시도를 하는 과정이다.
[그림 3-7] 대입 결과 확인
[그림 3-7]의 Status 상태 값 200, 302가 있습니다. 웹 응용 프로그램 동작에 따르면 잘못된 암호가 코드 응답 200을 반환하고 성공한 암호가 코드 응답 302를 반환합니다.
2-3) 대응 방안
[그림 3-8] 대응 방안 시나리오
본 공격의 분석 결과 대응 방안으로 공격 횟수를 셀 수 있도록 대책을 세웠고 DataBase의 Table 안의 Column(incorrect_count)을 추가였습니다.
5회 비밀번호 틀린 경우 계정 잠금 기능을 생성하였습니다.
[그림 3-9] MS-SQL의 Column(incorrect_count) 추가
아이디와 비밀번호를 검사하는 페이지(member_login_check.asp)에 Secure Code를 적용하였습니다.
1) 아이디의 존재 여부 검사
2) 비밀번호 틀림 5회 계정 잠금
3) 비밀번호 틀림 횟수 당 incorrect_count 1씩 증가
[그림 3-10] Secure Code 적용
적용 검사는 아이디 : kkkk, 비밀번호 : 111111을 대상으로 진행하였습니다.
로그인 시도 결과 incorrect_count 값이 1씩 증가하였고 5회 시에 계정 잠금을 확인하였습니다.
[그림 3-11] Secure Code 적용 결과(1)
[그림 3-12] Secure Code 적용 결과(2)
'프로젝트 [Project] > 웹 서비스 모의침투 (Web)' 카테고리의 다른 글
| [P-Web] 04. 세션 하이재킹 (Session Hijacking) (1) | 2020.06.04 |
|---|---|
| [P-Web] 02. 웹 환경 분석 (Web Environmental Analysis) (1) | 2020.06.04 |
| [P-Web] 01. 웹 서비스 모의침투 개요 (1) | 2020.05.29 |
