A07:2021-Identification and Authentication Failures

소개

본 취약점은 사용자 인증 및 권한 부여를 관리하는 기능에서 발생할 수 있는 취약점을 나타냅니다. 이 취약점은 인증 및 권한 부여 프로세스의 부적절한 구현으로 인해 발생할 수 있으며, 인증 정보 노출, 인증 우회, 권한 상승 등의 공격을 유발할 수 있습니다. 이러한 취약점을 방지하기 위해서는 적절한 인증 방법을 선택하고, 강력한 암호화 및 다단계 인증 등의 추가 보호 기능을 활용하여 인증의 안전성을 높입니다. 또한 인증 정보를 안전하게 저장하고 제한적으로 공유하여 비밀번호 등의 중요 정보가 외부에 노출되지 않도록 철저하게 관리하고 인증 정보의 갱신을 주기적으로 수행하고, 만료된 인증 정보는 즉시 폐기하거나 갱신합니다.

취약한 예

1. 암호화되지 않은 인증 정보 저장: 사용자의 인증 정보(아이디, 비밀번호)가 암호화되지 않은 상태로 저장되어 있다면, 해커가 해당 정보를 탈취하여 사용자의 계정에 로그인할 수 있습니다.
2. 약한 인증 시스템: 암호화되지 않은 패스워드, 취약한 암호화 알고리즘, 간단한 보안 질문 등으로 인해 해커가 사용자의 계정을 빠르게 공격하거나 인증 우회를 할 수 있습니다.
3. 인증 우회: 인증 및 권한 부여 프로세스에 취약점이 있는 경우, 해커가 인증 우회를 통해 인가되지 않은 계정으로 접근하거나, 권한 상승을 할 수 있습니다.
4. 무차별 대입 공격: 취약한 인증 시스템에서 해커는 브루트 포스 공격을 시도하여 사용자의 패스워드를 추측하거나, 패스워드 딕셔너리를 이용하여 공격할 수 있습니다.
5. 세션 관리 취약점: 세션 ID를 관리하지 않거나, 충분한 보호를 하지 않는 경우, 해커는 해당 세션 ID를 탈취하여 사용자의 계정에 로그인하거나 세션 하이재킹을 할 수 있습니다.

참고자료

https://owasp.org/Top10

https://www.bugbountyclub.com/