[Web] 자동화 공격 (AU)

자동화 공격

 

취약점 개요

■ 위험도
- 상

■ 점검 목적
- 웹 애플리케이션에 구현된 기능의 적절성에 대한 검증 로직을 구현하여 자동화 공격 및 무차별 대입 공격 방지

■ 보안 위협
- 웹 애플리케이션의 특정 프로세스에 대한 접근 시도 횟수 제한을 설정하지 않고 자동화 공격을 방치하면, 웹사이트를 다운시키거나 무차별 대입 공격으로 인해 사용자 계정을 탈취할 수 있고, 데이터 등록 또는 메일 발송 기능 등을 이용하여 악의적인 활용이 가능

 

 

점검 및 조치 방법

■ 점검 및 판단 기준
- 양호 : 웹 애플리케이션의 데이터 등록 등의 기능 사용 시 대량 사용에 대한 통제가 이루어지는 경우
- 취약 : 웹 애플리케이션의 데이터 등록 등의 기능 사용 시 통제가 이루어지지 않는 경우

■ 조치 방법
- 데이터 등록, 메일 발송 등 웹 애플리케이션 기능에 대한 대량 사용 통제 로직 구현 및 웹 방화벽 룰셋 설정을 통해 대량의 불특정 프로세스 요청 차단

■ 점검 방법
Step 1) 데이터 등록 및 메일 발송의 기능에서 반복적인 기능을 이용하여 대량의 데이터 등록이나 메일 발송이 가능한지 확인

■ 보안설정방법
Step 1) 데이터 등록 및 메일 발송 기능에서 사용자 등록이 일회성이 될 수 있도록, 캡차 등 일회성 확인 로직을 구현하여야 함
Step 2) 자동화 공격을 시도하면 짧은 시간에 다량의 패킷이 전송되므로 이를 공격으로 부터 감지하고 방어할 수 있는 IDS/IPS 의 시스템을 구축하여야 함
Step 3) 서버에 요청되는 패킷을 모니터링 할 수 있는 시스템 구축이 없이는 적시 적절한 방어가 어려움

■ 용어 설명 / 팁
※ 캡차(CAPTCHA) : 자동화된 컴퓨터와 사람을 판별하기 위한 기술의 일종