코더즈 컨커 시큐리티: 셰어 앤 런 시리즈 - 인증
이 블로그에서는 웹 사이트를 운영하거나 직원들이 컴퓨터 리소스에 원격으로 액세스할 수 있도록 허용하는 조직 (거의 모든 사람) 이 직면하는 가장 일반적인 문제 중 하나를 다룰 것입니다.네, 아마 이번 글에서 인증에 대해 이야기할 것이라고 짐작하셨을 것입니다.
해커가 유효한 사용자 이름과 암호를 사용하여 관리자로 시스템에 로그인하기만 하면 네트워크 방어를 위한 고급 기술을 배포할 필요가 없습니다.시스템은 단순히 문을 열고 공격자가 안으로 들어갈 수 있게 합니다.설상가상으로 공격자가 너무 엉뚱한 행동을 하지 않으면 공격자의 존재를 탐지하는 것이 거의 불가능합니다. 대부분의 방어 체계에서는 공격자가 자신의 업무를 수행하는 유효한 사용자나 관리자로 인식하기 때문입니다.
인증 취약성의 범주는 상당히 크지만, 사용자 로그인 프로세스에 실수로 영향을 받기 쉬운 가장 일반적인 문제를 살펴보겠습니다.이러한 허점을 보완하면 조직에서 발생하는 인증 문제의 대부분을 제거할 수 있습니다.
이 에피소드에서는 다음을 배우게 됩니다.
- 몇 가지 일반적인 인증 취약점이 악용되는 방법
- 왜 그렇게 위험한가요?
- 인증 취약점을 제거하는 데 사용할 수 있는 정책과 기술은 무엇입니까?
공격자는 인증 취약점을 어떻게 악용합니까?
인증 시스템에 침투할 수 있는 인증 취약점이 상당히 많기 때문에 해커들은 각 취약점을 약간씩 다르게 악용합니다.먼저 가장 일반적인 취약점을 살펴보고 그 중 몇 가지가 어떻게 악용될 수 있는지 보여주는 예를 들어 보겠습니다.
가장 일반적인 인증 취약점은 다음과 같습니다.
- 암호 정책이 약하거나 부적절한 경우
- 무제한 로그인 시도 허용,
- 로그인 실패 시 공격자에게 정보 제공
- 안전하지 않은 채널을 통한 자격 증명 전송
- 암호 해싱이 약합니다.
- 그리고 암호 복구 프로세스가 안전하지 않습니다.
암호 정책이 취약하다는 것이 가장 일반적인 취약점일 수 있습니다.사용자가 제한 없이 암호를 만들 수 있게 허용하면 추측 가능한 암호를 사용하는 사용자가 너무 많습니다.매년 여러 컴퓨터 뉴스에서는 가장 많이 사용되는 암호 목록을 발표하는데, “123456"과 “password”는 항상 상위 5위 안에 들었습니다.다른 것들도 있습니다.관리자는 “God”를 꽤 많이 사용하는 것을 좋아합니다.사실, 모두 유머러스하거나 기억하기 쉬울 뿐만 아니라 추측하기도 매우 쉽습니다.해커는 가장 일반적인 암호가 무엇인지 알고 있으며 시스템 침해를 시도할 때 가장 먼저 시도합니다.조직에서 이러한 종류의 암호를 허용하면 결국에는 보안 침해를 당할 수 있습니다.
덜 분명하지만 여전히 위험한 취약점은 로그인 실패와 관련된 정보를 사용자에게 다시 제공하는 것입니다.이는 좋지 않습니다. 사용자 이름이 존재하지 않을 때 하나의 메시지를 반환하고 사용자 이름은 존재하지만 암호가 잘못된 경우 다른 메시지를 반환하면 공격자가 시스템에서 유효한 사용자를 찾아내어 해당 사용자 이름에 대한 암호를 추측하는 데 집중할 수 있기 때문입니다.여기에 무제한 암호 추측을 허용하는 인증 취약점이 결합되면 공격자는 찾은 유효한 사용자에 대해 사전 공격을 실행할 수 있으며, 암호를 쉽게 추측할 수 있는 경우 상당히 빠르게 시스템에 침입할 수 있습니다.
인증 취약점이 왜 그렇게 위험한가요?
미국 구서부 (American Old West) 에는 편집증적인 농가가 현관문에 세 개의 자물쇠를 설치하고 창문에 올라가 손이 쉽게 닿을 수 있는 곳에서 총을 많이 들고 잠을 잤다는 이야기가 전해집니다.아침에 그는 죽은 채로 발견되었어요.뒷문을 잠그는 걸 잊었기 때문에 공격자들이 그를 잡았어요인증 취약점은 이와 매우 비슷합니다.공격자가 유효한 사용자 이름과 암호를 사용하여 네트워크에 침입할 수 있는지, 어떤 종류의 모니터링 도구나 사전 제어 기능을 갖추고 있는지, 얼마나 많은 전문 분석가를 고용하는지는 중요하지 않습니다.
일단 안으로 들어가면 공격자가 할 수 있는 일에 대한 제한이 거의 없습니다.공격자가 관리자 계정을 침해한 경우 상당히 광범위할 수 있는 사용자 권한 내에서 행동하는 한, 심각한 문제를 미연에 방지할 가능성은 거의 없습니다.따라서 인증 등급의 취약성은 모든 시스템에서 발생할 수 있는 가장 위험한 취약점 중 하나입니다.
인증 취약성 제거
네트워크에서 인증 취약점을 제거하는 가장 좋은 방법 중 하나는 전 세계적으로 적용되는 적절한 암호 정책을 마련하는 것입니다.사용자, 심지어 관리자도 “암호”와 같은 암호를 사용하지 못하도록 제한해야 할 뿐만 아니라 공격자가 사전이나 일반적인 문구 유형의 공격을 적용할 수 없도록 복잡성을 추가하도록 강요해야 합니다.보호되는 시스템의 중요도에 따라 암호 생성에 대한 자체 규칙을 마련할 수 있습니다.이렇게 하면 공격자가 암호를 추측하거나 무차별 대입하기가 훨씬 더 어려워집니다.
또한 잘못된 암호를 세 번 이상 입력하면 사용자가 잠기도록 로그인 실패 횟수를 제한해야 합니다.잠금은 일시적일 수 있습니다. 단 몇 분만 지연되어도 자동 딕셔너리 공격이 계속되는 것을 막을 수 있기 때문입니다.또는 관리자가 계정을 잠금 해제하지 않는 한 영구적일 수도 있습니다.어떤 경우든 이러한 잠금이 발생할 때마다 보안 담당자에게 알려 상황을 모니터링할 수 있도록 해야 합니다.
공격자가 정보를 수집하지 못하도록 방지하는 또 다른 좋은 방법은 잘못된 사용자 이름이나 암호를 입력할 때마다 일반적인 메시지를 작성하는 것입니다.사용자가 존재하지 않거나 잘못된 암호를 사용하여 거부되었는지 해커가 알 수 없도록 두 경우 모두 동일해야 합니다.
인증 취약성은 대부분의 시스템에서 가장 흔하고 위험합니다.하지만 발견하고 제거하기도 매우 쉽습니다.
인증 취약성에 대한 추가 정보
자세한 내용은 OWASP를 참조하십시오. 인증 치트 시트.또한 다음과 같이 새로 발견한 방어 지식을 테스트할 수 있습니다. 무료 데모 사이버 보안 팀이 궁극의 사이버 전사가 될 수 있도록 교육하는 Secure Code Warrior 플랫폼을 활용했습니다.이 취약점을 해결하는 방법과 기타 위협의 도적 갤러리를 자세히 알아보려면 다음 사이트를 방문하십시오. 시큐어 코드 워리어 블로그.
한 걸음 더 나아가 시큐어 코드 워리어 플랫폼의 인증 취약점에 정면으로 맞서세요. [여기서 시작]
웹 사이트를 운영하거나 직원들이 컴퓨터 리소스에 원격으로 액세스할 수 있도록 하는 조직, 즉 거의 모든 사람이 직면하는 가장 일반적인 문제 중 하나를 다루겠습니다.네, 아마도 우리가 인증에 대해 이야기할 것이라고 짐작하셨을 것입니다.
Jaap Karan Singh is a Secure Coding Evangelist, Chief Singh and co-founder of Secure Code Warrior.
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
데모 예약
Jaap Karan Singh is a Secure Coding Evangelist, Chief Singh and co-founder of Secure Code Warrior.
이 블로그에서는 웹 사이트를 운영하거나 직원들이 컴퓨터 리소스에 원격으로 액세스할 수 있도록 허용하는 조직 (거의 모든 사람) 이 직면하는 가장 일반적인 문제 중 하나를 다룰 것입니다.네, 아마 이번 글에서 인증에 대해 이야기할 것이라고 짐작하셨을 것입니다.
해커가 유효한 사용자 이름과 암호를 사용하여 관리자로 시스템에 로그인하기만 하면 네트워크 방어를 위한 고급 기술을 배포할 필요가 없습니다.시스템은 단순히 문을 열고 공격자가 안으로 들어갈 수 있게 합니다.설상가상으로 공격자가 너무 엉뚱한 행동을 하지 않으면 공격자의 존재를 탐지하는 것이 거의 불가능합니다. 대부분의 방어 체계에서는 공격자가 자신의 업무를 수행하는 유효한 사용자나 관리자로 인식하기 때문입니다.
인증 취약성의 범주는 상당히 크지만, 사용자 로그인 프로세스에 실수로 영향을 받기 쉬운 가장 일반적인 문제를 살펴보겠습니다.이러한 허점을 보완하면 조직에서 발생하는 인증 문제의 대부분을 제거할 수 있습니다.
이 에피소드에서는 다음을 배우게 됩니다.
- 몇 가지 일반적인 인증 취약점이 악용되는 방법
- 왜 그렇게 위험한가요?
- 인증 취약점을 제거하는 데 사용할 수 있는 정책과 기술은 무엇입니까?
공격자는 인증 취약점을 어떻게 악용합니까?
인증 시스템에 침투할 수 있는 인증 취약점이 상당히 많기 때문에 해커들은 각 취약점을 약간씩 다르게 악용합니다.먼저 가장 일반적인 취약점을 살펴보고 그 중 몇 가지가 어떻게 악용될 수 있는지 보여주는 예를 들어 보겠습니다.
가장 일반적인 인증 취약점은 다음과 같습니다.
- 암호 정책이 약하거나 부적절한 경우
- 무제한 로그인 시도 허용,
- 로그인 실패 시 공격자에게 정보 제공
- 안전하지 않은 채널을 통한 자격 증명 전송
- 암호 해싱이 약합니다.
- 그리고 암호 복구 프로세스가 안전하지 않습니다.
암호 정책이 취약하다는 것이 가장 일반적인 취약점일 수 있습니다.사용자가 제한 없이 암호를 만들 수 있게 허용하면 추측 가능한 암호를 사용하는 사용자가 너무 많습니다.매년 여러 컴퓨터 뉴스에서는 가장 많이 사용되는 암호 목록을 발표하는데, “123456"과 “password”는 항상 상위 5위 안에 들었습니다.다른 것들도 있습니다.관리자는 “God”를 꽤 많이 사용하는 것을 좋아합니다.사실, 모두 유머러스하거나 기억하기 쉬울 뿐만 아니라 추측하기도 매우 쉽습니다.해커는 가장 일반적인 암호가 무엇인지 알고 있으며 시스템 침해를 시도할 때 가장 먼저 시도합니다.조직에서 이러한 종류의 암호를 허용하면 결국에는 보안 침해를 당할 수 있습니다.
덜 분명하지만 여전히 위험한 취약점은 로그인 실패와 관련된 정보를 사용자에게 다시 제공하는 것입니다.이는 좋지 않습니다. 사용자 이름이 존재하지 않을 때 하나의 메시지를 반환하고 사용자 이름은 존재하지만 암호가 잘못된 경우 다른 메시지를 반환하면 공격자가 시스템에서 유효한 사용자를 찾아내어 해당 사용자 이름에 대한 암호를 추측하는 데 집중할 수 있기 때문입니다.여기에 무제한 암호 추측을 허용하는 인증 취약점이 결합되면 공격자는 찾은 유효한 사용자에 대해 사전 공격을 실행할 수 있으며, 암호를 쉽게 추측할 수 있는 경우 상당히 빠르게 시스템에 침입할 수 있습니다.
인증 취약점이 왜 그렇게 위험한가요?
미국 구서부 (American Old West) 에는 편집증적인 농가가 현관문에 세 개의 자물쇠를 설치하고 창문에 올라가 손이 쉽게 닿을 수 있는 곳에서 총을 많이 들고 잠을 잤다는 이야기가 전해집니다.아침에 그는 죽은 채로 발견되었어요.뒷문을 잠그는 걸 잊었기 때문에 공격자들이 그를 잡았어요인증 취약점은 이와 매우 비슷합니다.공격자가 유효한 사용자 이름과 암호를 사용하여 네트워크에 침입할 수 있는지, 어떤 종류의 모니터링 도구나 사전 제어 기능을 갖추고 있는지, 얼마나 많은 전문 분석가를 고용하는지는 중요하지 않습니다.
일단 안으로 들어가면 공격자가 할 수 있는 일에 대한 제한이 거의 없습니다.공격자가 관리자 계정을 침해한 경우 상당히 광범위할 수 있는 사용자 권한 내에서 행동하는 한, 심각한 문제를 미연에 방지할 가능성은 거의 없습니다.따라서 인증 등급의 취약성은 모든 시스템에서 발생할 수 있는 가장 위험한 취약점 중 하나입니다.
인증 취약성 제거
네트워크에서 인증 취약점을 제거하는 가장 좋은 방법 중 하나는 전 세계적으로 적용되는 적절한 암호 정책을 마련하는 것입니다.사용자, 심지어 관리자도 “암호”와 같은 암호를 사용하지 못하도록 제한해야 할 뿐만 아니라 공격자가 사전이나 일반적인 문구 유형의 공격을 적용할 수 없도록 복잡성을 추가하도록 강요해야 합니다.보호되는 시스템의 중요도에 따라 암호 생성에 대한 자체 규칙을 마련할 수 있습니다.이렇게 하면 공격자가 암호를 추측하거나 무차별 대입하기가 훨씬 더 어려워집니다.
또한 잘못된 암호를 세 번 이상 입력하면 사용자가 잠기도록 로그인 실패 횟수를 제한해야 합니다.잠금은 일시적일 수 있습니다. 단 몇 분만 지연되어도 자동 딕셔너리 공격이 계속되는 것을 막을 수 있기 때문입니다.또는 관리자가 계정을 잠금 해제하지 않는 한 영구적일 수도 있습니다.어떤 경우든 이러한 잠금이 발생할 때마다 보안 담당자에게 알려 상황을 모니터링할 수 있도록 해야 합니다.
공격자가 정보를 수집하지 못하도록 방지하는 또 다른 좋은 방법은 잘못된 사용자 이름이나 암호를 입력할 때마다 일반적인 메시지를 작성하는 것입니다.사용자가 존재하지 않거나 잘못된 암호를 사용하여 거부되었는지 해커가 알 수 없도록 두 경우 모두 동일해야 합니다.
인증 취약성은 대부분의 시스템에서 가장 흔하고 위험합니다.하지만 발견하고 제거하기도 매우 쉽습니다.
인증 취약성에 대한 추가 정보
자세한 내용은 OWASP를 참조하십시오. 인증 치트 시트.또한 다음과 같이 새로 발견한 방어 지식을 테스트할 수 있습니다. 무료 데모 사이버 보안 팀이 궁극의 사이버 전사가 될 수 있도록 교육하는 Secure Code Warrior 플랫폼을 활용했습니다.이 취약점을 해결하는 방법과 기타 위협의 도적 갤러리를 자세히 알아보려면 다음 사이트를 방문하십시오. 시큐어 코드 워리어 블로그.
한 걸음 더 나아가 시큐어 코드 워리어 플랫폼의 인증 취약점에 정면으로 맞서세요. [여기서 시작]
이 블로그에서는 웹 사이트를 운영하거나 직원들이 컴퓨터 리소스에 원격으로 액세스할 수 있도록 허용하는 조직 (거의 모든 사람) 이 직면하는 가장 일반적인 문제 중 하나를 다룰 것입니다.네, 아마 이번 글에서 인증에 대해 이야기할 것이라고 짐작하셨을 것입니다.
해커가 유효한 사용자 이름과 암호를 사용하여 관리자로 시스템에 로그인하기만 하면 네트워크 방어를 위한 고급 기술을 배포할 필요가 없습니다.시스템은 단순히 문을 열고 공격자가 안으로 들어갈 수 있게 합니다.설상가상으로 공격자가 너무 엉뚱한 행동을 하지 않으면 공격자의 존재를 탐지하는 것이 거의 불가능합니다. 대부분의 방어 체계에서는 공격자가 자신의 업무를 수행하는 유효한 사용자나 관리자로 인식하기 때문입니다.
인증 취약성의 범주는 상당히 크지만, 사용자 로그인 프로세스에 실수로 영향을 받기 쉬운 가장 일반적인 문제를 살펴보겠습니다.이러한 허점을 보완하면 조직에서 발생하는 인증 문제의 대부분을 제거할 수 있습니다.
이 에피소드에서는 다음을 배우게 됩니다.
- 몇 가지 일반적인 인증 취약점이 악용되는 방법
- 왜 그렇게 위험한가요?
- 인증 취약점을 제거하는 데 사용할 수 있는 정책과 기술은 무엇입니까?
공격자는 인증 취약점을 어떻게 악용합니까?
인증 시스템에 침투할 수 있는 인증 취약점이 상당히 많기 때문에 해커들은 각 취약점을 약간씩 다르게 악용합니다.먼저 가장 일반적인 취약점을 살펴보고 그 중 몇 가지가 어떻게 악용될 수 있는지 보여주는 예를 들어 보겠습니다.
가장 일반적인 인증 취약점은 다음과 같습니다.
- 암호 정책이 약하거나 부적절한 경우
- 무제한 로그인 시도 허용,
- 로그인 실패 시 공격자에게 정보 제공
- 안전하지 않은 채널을 통한 자격 증명 전송
- 암호 해싱이 약합니다.
- 그리고 암호 복구 프로세스가 안전하지 않습니다.
암호 정책이 취약하다는 것이 가장 일반적인 취약점일 수 있습니다.사용자가 제한 없이 암호를 만들 수 있게 허용하면 추측 가능한 암호를 사용하는 사용자가 너무 많습니다.매년 여러 컴퓨터 뉴스에서는 가장 많이 사용되는 암호 목록을 발표하는데, “123456"과 “password”는 항상 상위 5위 안에 들었습니다.다른 것들도 있습니다.관리자는 “God”를 꽤 많이 사용하는 것을 좋아합니다.사실, 모두 유머러스하거나 기억하기 쉬울 뿐만 아니라 추측하기도 매우 쉽습니다.해커는 가장 일반적인 암호가 무엇인지 알고 있으며 시스템 침해를 시도할 때 가장 먼저 시도합니다.조직에서 이러한 종류의 암호를 허용하면 결국에는 보안 침해를 당할 수 있습니다.
덜 분명하지만 여전히 위험한 취약점은 로그인 실패와 관련된 정보를 사용자에게 다시 제공하는 것입니다.이는 좋지 않습니다. 사용자 이름이 존재하지 않을 때 하나의 메시지를 반환하고 사용자 이름은 존재하지만 암호가 잘못된 경우 다른 메시지를 반환하면 공격자가 시스템에서 유효한 사용자를 찾아내어 해당 사용자 이름에 대한 암호를 추측하는 데 집중할 수 있기 때문입니다.여기에 무제한 암호 추측을 허용하는 인증 취약점이 결합되면 공격자는 찾은 유효한 사용자에 대해 사전 공격을 실행할 수 있으며, 암호를 쉽게 추측할 수 있는 경우 상당히 빠르게 시스템에 침입할 수 있습니다.
인증 취약점이 왜 그렇게 위험한가요?
미국 구서부 (American Old West) 에는 편집증적인 농가가 현관문에 세 개의 자물쇠를 설치하고 창문에 올라가 손이 쉽게 닿을 수 있는 곳에서 총을 많이 들고 잠을 잤다는 이야기가 전해집니다.아침에 그는 죽은 채로 발견되었어요.뒷문을 잠그는 걸 잊었기 때문에 공격자들이 그를 잡았어요인증 취약점은 이와 매우 비슷합니다.공격자가 유효한 사용자 이름과 암호를 사용하여 네트워크에 침입할 수 있는지, 어떤 종류의 모니터링 도구나 사전 제어 기능을 갖추고 있는지, 얼마나 많은 전문 분석가를 고용하는지는 중요하지 않습니다.
일단 안으로 들어가면 공격자가 할 수 있는 일에 대한 제한이 거의 없습니다.공격자가 관리자 계정을 침해한 경우 상당히 광범위할 수 있는 사용자 권한 내에서 행동하는 한, 심각한 문제를 미연에 방지할 가능성은 거의 없습니다.따라서 인증 등급의 취약성은 모든 시스템에서 발생할 수 있는 가장 위험한 취약점 중 하나입니다.
인증 취약성 제거
네트워크에서 인증 취약점을 제거하는 가장 좋은 방법 중 하나는 전 세계적으로 적용되는 적절한 암호 정책을 마련하는 것입니다.사용자, 심지어 관리자도 “암호”와 같은 암호를 사용하지 못하도록 제한해야 할 뿐만 아니라 공격자가 사전이나 일반적인 문구 유형의 공격을 적용할 수 없도록 복잡성을 추가하도록 강요해야 합니다.보호되는 시스템의 중요도에 따라 암호 생성에 대한 자체 규칙을 마련할 수 있습니다.이렇게 하면 공격자가 암호를 추측하거나 무차별 대입하기가 훨씬 더 어려워집니다.
또한 잘못된 암호를 세 번 이상 입력하면 사용자가 잠기도록 로그인 실패 횟수를 제한해야 합니다.잠금은 일시적일 수 있습니다. 단 몇 분만 지연되어도 자동 딕셔너리 공격이 계속되는 것을 막을 수 있기 때문입니다.또는 관리자가 계정을 잠금 해제하지 않는 한 영구적일 수도 있습니다.어떤 경우든 이러한 잠금이 발생할 때마다 보안 담당자에게 알려 상황을 모니터링할 수 있도록 해야 합니다.
공격자가 정보를 수집하지 못하도록 방지하는 또 다른 좋은 방법은 잘못된 사용자 이름이나 암호를 입력할 때마다 일반적인 메시지를 작성하는 것입니다.사용자가 존재하지 않거나 잘못된 암호를 사용하여 거부되었는지 해커가 알 수 없도록 두 경우 모두 동일해야 합니다.
인증 취약성은 대부분의 시스템에서 가장 흔하고 위험합니다.하지만 발견하고 제거하기도 매우 쉽습니다.
인증 취약성에 대한 추가 정보
자세한 내용은 OWASP를 참조하십시오. 인증 치트 시트.또한 다음과 같이 새로 발견한 방어 지식을 테스트할 수 있습니다. 무료 데모 사이버 보안 팀이 궁극의 사이버 전사가 될 수 있도록 교육하는 Secure Code Warrior 플랫폼을 활용했습니다.이 취약점을 해결하는 방법과 기타 위협의 도적 갤러리를 자세히 알아보려면 다음 사이트를 방문하십시오. 시큐어 코드 워리어 블로그.
한 걸음 더 나아가 시큐어 코드 워리어 플랫폼의 인증 취약점에 정면으로 맞서세요. [여기서 시작]
아래 링크를 클릭하고 이 리소스의 PDF를 다운로드하십시오.
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
보고서 보기데모 예약
Jaap Karan Singh is a Secure Coding Evangelist, Chief Singh and co-founder of Secure Code Warrior.
이 블로그에서는 웹 사이트를 운영하거나 직원들이 컴퓨터 리소스에 원격으로 액세스할 수 있도록 허용하는 조직 (거의 모든 사람) 이 직면하는 가장 일반적인 문제 중 하나를 다룰 것입니다.네, 아마 이번 글에서 인증에 대해 이야기할 것이라고 짐작하셨을 것입니다.
해커가 유효한 사용자 이름과 암호를 사용하여 관리자로 시스템에 로그인하기만 하면 네트워크 방어를 위한 고급 기술을 배포할 필요가 없습니다.시스템은 단순히 문을 열고 공격자가 안으로 들어갈 수 있게 합니다.설상가상으로 공격자가 너무 엉뚱한 행동을 하지 않으면 공격자의 존재를 탐지하는 것이 거의 불가능합니다. 대부분의 방어 체계에서는 공격자가 자신의 업무를 수행하는 유효한 사용자나 관리자로 인식하기 때문입니다.
인증 취약성의 범주는 상당히 크지만, 사용자 로그인 프로세스에 실수로 영향을 받기 쉬운 가장 일반적인 문제를 살펴보겠습니다.이러한 허점을 보완하면 조직에서 발생하는 인증 문제의 대부분을 제거할 수 있습니다.
이 에피소드에서는 다음을 배우게 됩니다.
- 몇 가지 일반적인 인증 취약점이 악용되는 방법
- 왜 그렇게 위험한가요?
- 인증 취약점을 제거하는 데 사용할 수 있는 정책과 기술은 무엇입니까?
공격자는 인증 취약점을 어떻게 악용합니까?
인증 시스템에 침투할 수 있는 인증 취약점이 상당히 많기 때문에 해커들은 각 취약점을 약간씩 다르게 악용합니다.먼저 가장 일반적인 취약점을 살펴보고 그 중 몇 가지가 어떻게 악용될 수 있는지 보여주는 예를 들어 보겠습니다.
가장 일반적인 인증 취약점은 다음과 같습니다.
- 암호 정책이 약하거나 부적절한 경우
- 무제한 로그인 시도 허용,
- 로그인 실패 시 공격자에게 정보 제공
- 안전하지 않은 채널을 통한 자격 증명 전송
- 암호 해싱이 약합니다.
- 그리고 암호 복구 프로세스가 안전하지 않습니다.
암호 정책이 취약하다는 것이 가장 일반적인 취약점일 수 있습니다.사용자가 제한 없이 암호를 만들 수 있게 허용하면 추측 가능한 암호를 사용하는 사용자가 너무 많습니다.매년 여러 컴퓨터 뉴스에서는 가장 많이 사용되는 암호 목록을 발표하는데, “123456"과 “password”는 항상 상위 5위 안에 들었습니다.다른 것들도 있습니다.관리자는 “God”를 꽤 많이 사용하는 것을 좋아합니다.사실, 모두 유머러스하거나 기억하기 쉬울 뿐만 아니라 추측하기도 매우 쉽습니다.해커는 가장 일반적인 암호가 무엇인지 알고 있으며 시스템 침해를 시도할 때 가장 먼저 시도합니다.조직에서 이러한 종류의 암호를 허용하면 결국에는 보안 침해를 당할 수 있습니다.
덜 분명하지만 여전히 위험한 취약점은 로그인 실패와 관련된 정보를 사용자에게 다시 제공하는 것입니다.이는 좋지 않습니다. 사용자 이름이 존재하지 않을 때 하나의 메시지를 반환하고 사용자 이름은 존재하지만 암호가 잘못된 경우 다른 메시지를 반환하면 공격자가 시스템에서 유효한 사용자를 찾아내어 해당 사용자 이름에 대한 암호를 추측하는 데 집중할 수 있기 때문입니다.여기에 무제한 암호 추측을 허용하는 인증 취약점이 결합되면 공격자는 찾은 유효한 사용자에 대해 사전 공격을 실행할 수 있으며, 암호를 쉽게 추측할 수 있는 경우 상당히 빠르게 시스템에 침입할 수 있습니다.
인증 취약점이 왜 그렇게 위험한가요?
미국 구서부 (American Old West) 에는 편집증적인 농가가 현관문에 세 개의 자물쇠를 설치하고 창문에 올라가 손이 쉽게 닿을 수 있는 곳에서 총을 많이 들고 잠을 잤다는 이야기가 전해집니다.아침에 그는 죽은 채로 발견되었어요.뒷문을 잠그는 걸 잊었기 때문에 공격자들이 그를 잡았어요인증 취약점은 이와 매우 비슷합니다.공격자가 유효한 사용자 이름과 암호를 사용하여 네트워크에 침입할 수 있는지, 어떤 종류의 모니터링 도구나 사전 제어 기능을 갖추고 있는지, 얼마나 많은 전문 분석가를 고용하는지는 중요하지 않습니다.
일단 안으로 들어가면 공격자가 할 수 있는 일에 대한 제한이 거의 없습니다.공격자가 관리자 계정을 침해한 경우 상당히 광범위할 수 있는 사용자 권한 내에서 행동하는 한, 심각한 문제를 미연에 방지할 가능성은 거의 없습니다.따라서 인증 등급의 취약성은 모든 시스템에서 발생할 수 있는 가장 위험한 취약점 중 하나입니다.
인증 취약성 제거
네트워크에서 인증 취약점을 제거하는 가장 좋은 방법 중 하나는 전 세계적으로 적용되는 적절한 암호 정책을 마련하는 것입니다.사용자, 심지어 관리자도 “암호”와 같은 암호를 사용하지 못하도록 제한해야 할 뿐만 아니라 공격자가 사전이나 일반적인 문구 유형의 공격을 적용할 수 없도록 복잡성을 추가하도록 강요해야 합니다.보호되는 시스템의 중요도에 따라 암호 생성에 대한 자체 규칙을 마련할 수 있습니다.이렇게 하면 공격자가 암호를 추측하거나 무차별 대입하기가 훨씬 더 어려워집니다.
또한 잘못된 암호를 세 번 이상 입력하면 사용자가 잠기도록 로그인 실패 횟수를 제한해야 합니다.잠금은 일시적일 수 있습니다. 단 몇 분만 지연되어도 자동 딕셔너리 공격이 계속되는 것을 막을 수 있기 때문입니다.또는 관리자가 계정을 잠금 해제하지 않는 한 영구적일 수도 있습니다.어떤 경우든 이러한 잠금이 발생할 때마다 보안 담당자에게 알려 상황을 모니터링할 수 있도록 해야 합니다.
공격자가 정보를 수집하지 못하도록 방지하는 또 다른 좋은 방법은 잘못된 사용자 이름이나 암호를 입력할 때마다 일반적인 메시지를 작성하는 것입니다.사용자가 존재하지 않거나 잘못된 암호를 사용하여 거부되었는지 해커가 알 수 없도록 두 경우 모두 동일해야 합니다.
인증 취약성은 대부분의 시스템에서 가장 흔하고 위험합니다.하지만 발견하고 제거하기도 매우 쉽습니다.
인증 취약성에 대한 추가 정보
자세한 내용은 OWASP를 참조하십시오. 인증 치트 시트.또한 다음과 같이 새로 발견한 방어 지식을 테스트할 수 있습니다. 무료 데모 사이버 보안 팀이 궁극의 사이버 전사가 될 수 있도록 교육하는 Secure Code Warrior 플랫폼을 활용했습니다.이 취약점을 해결하는 방법과 기타 위협의 도적 갤러리를 자세히 알아보려면 다음 사이트를 방문하십시오. 시큐어 코드 워리어 블로그.
한 걸음 더 나아가 시큐어 코드 워리어 플랫폼의 인증 취약점에 정면으로 맞서세요. [여기서 시작]
목차
Jaap Karan Singh is a Secure Coding Evangelist, Chief Singh and co-founder of Secure Code Warrior.
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
데모 예약다운로드시작하는 데 도움이 되는 리소스
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
