자동화 공격 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 웹 애플리케이션에 구현된 기능의 적절성에 대한 검증 로직을 구현하여 자동화 공격 및 무차별 대입 공격 방지 ■ 보안 위협 - 웹 애플리케이션의 특정 프로세스에 대한 접근 시도 횟수 제한을 설정하지 않고 자동화 공격을 방치하면, 웹사이트를 다운시키거나 무차별 대입 공격으로 인해 사용자 계정을 탈취할 수 있고, 데이터 등록 또는 메일 발송 기능 등을 이용하여 악의적인 활용이 가능 점검 및 조치 방법 ■ 점검 및 판단 기준 - 양호 : 웹 애플리케이션의 데이터 등록 등의 기능 사용 시 대량 사용에 대한 통제가 이루어지는 경우 - 취약 : 웹 애플리케이션의 데이터 등록 등의 기능 사용 시 통제가 이루어지지 않는 경우 ■ 조치 방법 - 데이터 등록, 메..
세션 고정 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 로그인 할 때마다 예측 불가능한 새로운 세션 ID를 발행하여 세션 ID의 고정 사용을 방지하기 위함 ■ 보안 위협 - 사용자 로그인 시 항상 일정하게 고정된 세션ID가 발급되는 경우 세션 ID를 도용한 비인가자의 접근 및 권한 우회가 가능 점검 및 조치 방법 ■ 점검 및 판단 기준 - 양호 : 로그인 할 때마다 예측 불가능한 새로운 세션ID가 발급되고, 기존 세션 ID는 파기될 경우 - 취약 : 로그인 세션 ID가 고정 사용되거나 새로운 세션ID 생성 로직 구현하고 기존 세션 ID는 파기함 ■ 조치 방법 - 사용자가 로그인 할 때마다 예측 불가능한 새로운 세션ID가 발급되고, 기존 세션 ID는 파기 ■ 점검 방법 Step 1) 로그인 시 세션 I..
불충분한 세션 만료 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 세션 타임아웃 기능을 구현하여 공격자가 만료되지 않은 세션 활용을 방지하기 ㅣ함 ■ 보안 위협 - 세션 만료 기간을 정하지 않거나, 만료기한을 너무 길게 설정된 경우 악의적 사용자가 만료되지 않은 세션을 활용하여 불법적인 접근이 가능할 수 있음 점검 및 조치 방법 ■ 점검 및 판단 기준 - 양호 : 세션 종료 시간이 설정되어 있는 경우 - 취약 : 세션 종료 시간이 설정되어 있지 않아 세션 재사용이 가능한 경우 ■ 조치 방법 - 세션 종료 시간 설정 또는 자동 로그아웃 기능 구현(세션 종료 시간은 사이트의 특성에 따라 달라질 수 있으므로 사이트의 특성에 맞게 적정 시간 설정) ■ 점검 방법 Step 1) 인증 후 정상적으로 세션이 발행된..
불충분한 인가 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 접근 권한에 대한 검증 로직을 구현하여 다른 사용자가 민감한 정보나 인증이 필요한 페이지의 접근을 차단하기 위함 ■ 보안 위협 - 중요 정보 페이지 접근을 위한 인증 로직이 구현되지 않을 경우, 비인가 사용자의 페이지에 접근 및 중요 정보의 열 및 변조가 가능함 점검 및 조치 방법 ■ 점검 및 판단 기준 - 양호 : 중요 정보 페이지 접근 시 추가 인증을 하는 경우 - 취약 : 중요 정보 페이지의 파라미터 변경으로 타인의 정보를 열람 및 수정이 가능한 경우 ■ 조치 방법 - 중요 정보 페이지의 추가 인증 로직 구현 ■ 점검 방법 Step 1) 비밀 게시글(또는 개인 정보 수정, 패스워드 변경 등) 페이지에서 다른 사용자와의 구분을 ID, 일련..
세션 예측 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 사용자의 세션ID를 추측 불가능하도록 난수로 생성하여 공격자의 불법적인 접근을 차단하기 위함 ■ 보안 위협 - 사용자에게 전달하는 세션ID가 일정한 패턴을 가지고 있는 경우 공격자가 세션 ID를 추측하여 불법적인 접근을 시도할 수 있음 점검 및 조치 방법 ■ 점검 및 판단 기준 - 양호 : 추측 불가능한 세션 ID가 발급되는 경우 - 취약 : 세션 ID가 일정한 패턴으로 발급되어 있는 경우 ■ 조치 방법 - 추측 불가능한 세션 ID가 발급되도록 로직을 구현 ■ 점검 방법 Step 1) 각각 다른 IP 주소와 다른 사용자명, 시간적 차이로 세션 ID를 발급받음 Step 2) 발급받은 세션 ID에 일정한 패턴이 있는지 조사 Step 3) 일정한 패턴..
크로스 사이트 리퀘스트 변조 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 사용자 입력 값에 대한 적절한 필터링 및 인증에 대한 유효성을 검증하여 신뢰(인증) 정보 내의 요청(Request)에 대한 변조 방지 ■ 보안 위협 - 사용자의 신뢰(인증) 정보 내에서 사용자의 요청(Request)을 변조함으로써 해당 사용자의 권한으로 악의적인 공격을 수행할 수 있음 점검 및 조치 방법 ■ 점검 및 판단 기준 - 양호 : 사용자 입력 값에 대한 검증 및 필터링이 이루어지는 경우 - 취약 : 사용자 입력 값에 대한 필터링이 이루어지지 않으며, HTML 코드(또는 스크립트)를 입력하여 실행되는 경우 ■ 조치 방법 - 사용자 입력 값에 대해 검증 로직 및 필터링 추가 적용 ■ 점검 방법 Step 1) XSS 취약점이..
취약한 패스워드 복구 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 패스워드 복구 로직을 유추하기 어렵게 구현하고, 인증된 사용자 메일이나 SMS에서만 복구 패스워드를 확인할 수 있도록 하여 비인가자를 통한 사용자 패스워드 획득 및 변경을 방지하기 위함 ■ 보안 위협 - 취약한 패스워드 복구 로직(패스워드 찾기 등)으로 인해 공격자가 불법적으로 다른 사용자의 패스워드를 획득, 변경할 가능성이 있음 점검 및 조치 방법 ■ 점검 및 판단 기준 - 양호 : 패스워드 재설정 시 난수를 이용하여 재설정하고 인증된 사용자 메일이나 SMS로 재설정된 패스워드 전송 시 - 취약 : 패스워드 재설정 시 일정 패턴으로 재설정되고 웹 사이트 화면에 바로 출력될 시 ■ 조치 방법 - 패스워드 복구 로직을 변경하고 인증된 사..