[Web] 약한 문자열 강도 (BF)

약한 문자열 강도

 

취약점 개요

■ 위험도
- 상

■ 점검 목적
- 유추 가능한 취약한 문자열 사용을 제한하여 계정 및 패스워드 추측 공격을 방지하기 위함

■ 보안 위협
- 해당 취약점 존재 시 유추가 용이한 계정 및 패스워드의 사용으로 인한 사용자 권한 탈취 위험이 존재하며, 해당 위험을 방지하기 위해 값의 적절성 및 복잡성을 검증하는 체크 로직을 구현하여야 함

점검 및 조치 방법

■ 점검 및 판단 기준
- 양호 : 관리자 계정 및 패스워드가 유추하기 어려운 계정으로 설정되어 있는 경우
- 취약 : 관리자 계정 및 패스워드가 유추하기 쉬운 계정으로 설정되어 있는 경우

■ 조치 방법
- 계정 및 비밀번호의 체크 로직 추가 구현

■ 점검 방법
Step 1) 웹 사이트 로그인 페이지의 로그인 창에 추측 가능한 계정이나 패스워드를 입력하여 정상적으로 로그인 되는지 확인
○ 취약한 계정 : admin, administrator, manager, guest, test, scott, tomcat, root, user, operator, ananymous 등
○ 취약한 패스워드 : abcd, aaaa, 1234, 1111, test, pass, password, public, blank 등의 패스워드 또는 ID와 동일한 패스워드

■ 보안설정방법
Step 1) 취약한 계정 및 패스워드를 삭제하고, 사용자가 취약한 계정이나 패스워드를 등록하지 못하도록 패스워드 규정이 반영된 체크 로직을 구현하여야 함

규정 예시

■ 용어 설명 / 팁
※ 약한 문자열 강도 취약점 : 웹 애플리케이션에서 회원가입 시 안전한 패스워드 규칙이 적용 되지 않아 취약한 패스워드로 회원가입이 가능한 경우 공격자가 추측을 통한 대입 및 주변 정보들을 수집하여 작성한 사전파일 통한 대입을 시도하여 사용자의 패스워드를 추출할 수 있는 취약점