[ 웹해킹 ] 인증 결함 Broken Authentication

인증 결함 

- 인증에 필요한 사용자의 계쩡 정보를 노출하는 취약점

- HTML코드, GET요청 URL에 변수 노출

- 취약한 암호 설정

- 취약한 인증 과정

 

인증 과정 중 결함 발생 또는 세션 관리 소홀로 인해 세션 아이디 노출 - 인증 과정의 결함과 세션 관리의 취약점으로 정상 인증 과정 없이 사용자 권한 획득,

 

[실습]

 

난이도 하에서 insecure----

빈칸위에 드래그하면 하얀 글씨로 적어놓은 아이디와 비밀번호가 있음

옛날에는 개발자들이 잊어먹을까봐 표시해놓고 배포하기전 잊어먹고 지우지 않을때가 있었음.

 

난이도 중 

unlock_secret() 에 적혀있는 암호문을 위에 있는 문자로 해독하여 비밀번호를 알아낼 수 있다.

암호문이 해독할 수 있는 것과 함께 코드에 적혀있어서 일어나는 참사.

 

난이도 상 

 

 

세션 관리 

세션 : 웹사이트에서 서비스를 제공할 때 사용자의 로그인을 유지하기 위해 사용

- 실제로 가장 많이 도출되는 취약점 중 하나가 세션 관리 미흡에서 발생

- 관리자 페이지 접근에 대한 세션 처리 미흡으로 많은 취약점 도출

- 특히 개발자가 중간에 교체되거나 유지보수하며 추가된 페이지

- 정상적인 프로세스가 진행되는 과정에서 발생 - 자동 진단 도구/ 특정한 패턴 매칭으로 도출할 수 없는 취약점