insecurebankv2 - 사용자 정보 목록 이슈화

- 취약점 소개

로그인 에러메시지에서 계정이 없는 경우, 비밀번호가 틀린경우에따라 에러메시지가 다르다면, 이를 이용해서 사용자 계정 목록을 획득할 수 있는 취약점을 말합니다.

 

- 취약점 분석

먼저 계정이 없는 경우 에러메시지를 보겠습니다.

User Does not Exist라는 에러메시지가 나옵니다. 이제 패스워드가 다른 경우를 보겠습니다.

Wrong the password라는 에러메시지가 나옵니다. 이제 올바른 경우를 보겠습니다.

Correct Credentials라는 메시지가 나옵니다. 이러한 정보를 토대로 서버에 저장된 사용자의 계정 및 패스워드등을 알아낼 수 있습니다.

 

- 취약점 대응 방안

• 로그인 실패시 메시지는 상세한 피드백을 제공하지않고 포괄적으로 대응해야합니다.
• 로그인 시도 속도를 제한하여 자동화 도구를 이용한 공격을 방지합니다.
• 로그인 시도 횟수를 제한하고 반복적인 시도로 인한 실패는 계정 잠금 기능을 이용합니다. 계정이 잠기면 회원가입 시 입력한 정보를 토대로 재생성하거나 메일 등을 통해 복구할 수 있게 유도합니다.
• 캡챠프로그램을 사용하여 자동화 도구나 매크로를 방지합니다.
• 실시간 모니터링을 통해 비정상적인 로그인 시도를 탐지합니다.