이번 글에서는 계정 관리 취약점에 대해 알아보고 해당 취약점에 대응하기 위해서는 어떻게 해야하는지 알아보도록 하겠습니다.
계정 관리 취약점이란?
- 회원 가입 시 안전한 패스워드 규칙이 적용되지 않아 취약한 패스워드를 사용하여 회원 가입이 가능할 경우 무차별 대입 공격(Brute Force)을 통해 패스워드가 노출될 수 있는 취약점
- 취약한 계정 사용으로 인해 추측이 가능한 사용자 계정이 이용이 가능한 취약점
ex ) 관리자 계정을 사용하는데 ID가 admin, root, master 등과 같이 추측 가능한 ID를 사용하는 경우
계정 관리 취약점 대응 방안
- 사용자가 취약한 패스워드를 사용할 수 없도록 패스워드 생성 규칙을 강제할 수 있는 로직을 적용시킨다.
ex ) 사진과 같이 8글자 이상 숫자, 영문, 특수 문자 등을 강제로 포함시키도록 설정한다. - 패스워드를 일정 기간마다 변경하도록 설정한다.
- 무차별 대입 공격 방지를 위해 일정 횟수 이상 로그인 실패 시 계정 잠금 등의 정책을 설정한다.
'CERT > 웹 취약점' 카테고리의 다른 글
| [웹 취약점]전송 시 주요 정보 노출 취약점의 정의 및 대응 방안 (0) | 2023.04.08 |
|---|---|
| [웹 취약점]실명 인증 취약점의 정의 및 대응 방안 (0) | 2023.04.08 |
| [웹 취약점]취약한 파일 존재 취약점 정의 및 대응 방안 (0) | 2023.04.08 |
| [웹 취약점] 불필요한 Method 허용 취약점의 정의 및 대응 방안 (0) | 2023.04.01 |
| [웹 취약점]시스템 관리 취약점의 정의 및 대응 방안 (0) | 2023.04.01 |
