[웹 취약점]계정 관리 취약점의 정의 및 대응 방안

이번 글에서는 계정 관리 취약점에 대해 알아보고 해당 취약점에 대응하기 위해서는 어떻게 해야하는지 알아보도록 하겠습니다.

계정 관리 취약점이란?

• 회원 가입 시 안전한 패스워드 규칙이 적용되지 않아 취약한 패스워드를 사용하여 회원 가입이 가능할 경우 무차별 대입 공격(Brute Force)을 통해 패스워드가 노출될 수 있는 취약점
• 취약한 계정 사용으로 인해 추측이 가능한 사용자 계정이 이용이 가능한 취약점
  ex ) 관리자 계정을 사용하는데 ID가 admin, root, master 등과 같이 추측 가능한 ID를 사용하는 경우

 

계정 관리 취약점 대응 방안

• 사용자가 취약한 패스워드를 사용할 수 없도록 패스워드 생성 규칙을 강제할 수 있는 로직을 적용시킨다.
  ex ) 사진과 같이 8글자 이상 숫자, 영문, 특수 문자 등을 강제로 포함시키도록 설정한다.
• 패스워드를 일정 기간마다 변경하도록 설정한다.
• 무차별 대입 공격 방지를 위해 일정 횟수 이상 로그인 실패 시 계정 잠금 등의 정책을 설정한다.