코더는 보안을 정복 : 공유 및 학습 시리즈 - 부족한 안티 오토메이션

게시일: 2019년 4월 4일
by Jaap Karan Singh
사례 연구

코더는 보안을 정복 : 공유 및 학습 시리즈 - 부족한 안티 오토메이션

게시일: 2019년 4월 4일
by Jaap Karan Singh
리소스 보기
리소스 보기

오래된 말하기 쉬운 또는 지하 클럽의 문에 가는 것을 상상해보십시오. 도어의 작은 구멍이 열리고 버리 바운서가 암호를 요청합니다. 잠재적인 방문자는 암호를 모르고 추측을합니다. 그것은 잘못, 그래서 바운서 안에 그들을 못하게.

그것은 일반적으로 일어날 것입니다. 이제 잘못된 암호를 추측 한 방문자가 즉시 다시 시도하고 잘못되고 다시 액세스가 거부된다고 상상해보십시오. 그런 다음 잠재적 인 방문자가 사전을 열고 aardvark 같은 것을 시작하고 가능한 모든 단어를 시도하기 시작, 단어를 읽기 시작합니다 상상해보십시오.

대부분의 경우, 바운서가 그런 종류의 활동을 허용하지 는 않지만 자동화 가 부족한 웹 사이트및 응용 프로그램은 그렇게합니다. 그들은 사용자가 암호를 계속 시도 할 수 있습니다, 심지어 자동화 기술을 사용하여, 그들은 마침내 적절한 캐치 프레이즈를 우연히 발견 할 때까지.

이 에피소드에서는 다음을 배우게 됩니다.

  • 공격자가 자동화가 부족한 방법을 악용하는 방법
  • 자동화가 부족한 응용 프로그램이 위험한 이유
  • 이 취약점을 해결할 수 있는 기술입니다.

공격자는 자동화가 부족한 방법을 악용합니까?

우리의 상상의 말하기 쉬운 방문자와 같은 자동화 또는 사전 스타일의 공격을 사용하는 것은 사이버 보안에 새로운 것이 아닙니다. 사실, 그 무차별 힘 스타일 공격은 지금까지 배포 된 최초의 해커 기술 중 일부였다. 컴퓨터가 더 빠르게 성장함에 따라 점점 더 효율적이되었습니다. 빠른 컴퓨터는 공격 컴퓨터와 대상 시스템 간의 연결 속도에 따라 단 몇 분 만에 전체 단어 사전을 실행할 수 있습니다.

이러한 종류의 자동화 된 공격은 자동화 방지 소프트웨어와 기술이 만들어지는 이유였습니다. 응용 프로그램에서 사용자가 취하는 작업이 일반적인 인간의 행동의 규범 을 벗어난지 확인할 수 있습니다.

응용 프로그램에 자동화 방지 검사가 부족한 경우 공격자는 일치하는 경우 암호를 계속 추측할 수 있습니다. 또는 자동화 소프트웨어를 사용하여 웹 사이트 포럼에 스팸 댓글과 같은 다른 작업을 수행할 수 있습니다.

자동화 가 부족한 경우 위험합니까?

악의적인 사용자가 자동화를 사용하여 보안을 우회하도록 허용하는 것은 위험할 수 있습니다. 자동화 유형 공격이 컴퓨팅 초기부터 지금까지 지속된 이유는 매우 효과적일 수 있기 때문입니다. 자동화 프로그램에 잘못된 추측에 대한 결과없이 암호를 제출하는 데 무제한의 시간을 제공하면 결국 올바른 암호를 찾을 수 있습니다.

포럼과 같은 경우에, 명백하게 스크립트 된 댓글의 물결을 갖는 것은 유효한 사용자를 좌절 시킬 수 있습니다, 또는 시스템 리소스를 낭비에 의해 서비스 거부 공격의 일종처럼 행동. 자동 게시는 피싱 이나 다른 공격의 도구로 사용 될 수 있습니다 가능한 한 많은 사람들에게 미끼를 노출.

자동화 방지 문제 해결

자동화 가 부족한 문제를 해결하기 위해 모든 응용 프로그램에는 사람이나 자동화 소프트웨어에 의해 수행되는 작업이 구현되는지 여부를 확인할 수 있어야 합니다. 가장 인기 있고 널리 사용되는 기술 중 하나는 컴퓨터와 인간을 구별하는 완전 자동화 된 공개 튜링 테스트입니다.

CAPTCHA는 기본적으로 1950년 컴퓨터 과학자 앨런 튜링(Alan Turing)이 처음 제안한 튜링 테스트로,인간과 컴퓨터의 행동을 분리하고 식별할 수 있습니다. 현대 CAPTCHA는 인간이 쉽게 해결할 수있는 문제를 제시하지만, 어떤 컴퓨터가 어려움을 겪고, 또는 단순히 알아낼 수 없습니다. 인기있는 하나는 그리드로 분리 된 사진을 제시하고 꽃이나 얼굴과 같은 특정 항목으로 모든 섹터를 식별하도록 사용자에게 요청합니다. 컴퓨터는 요구되는 것을 이해할 수 없으므로 이미지를 스캔하려고 시도조차 할 수 없습니다. 비록 할 수 있더라도 이미지 인식은 특별히 제작되지 않은 대부분의 프로그램을 넘어섭습니다.

CAPTCHA의 다른 예로는 흐릿한 텍스트를 표시하거나 간단한 논리 질문을 하거나 질문을 큰 소리로 재생하는 것이 있습니다. 암호를 묻는 메시지가 표시될 때와 같이 응용 프로그램의 중요한 지점에서 CAPTCHA 문제를 구현하면 트랙에서 자동화 프로그램을 중지할 수 있습니다.

또한 동일한 소스에서 잘못된 추측 수를 제한하여 자동화 프로그램을 중지할 수도 있습니다. 잘못된 추측이 너무 많으면 계정을 일시적으로 잠글 수 있으므로 유용성 지점을 지나 자동화 프로그램이 지연되거나 휴먼 관리자가 잠금을 해제해야 할 수도 있습니다. 이러한 작업을 수행하면 응용 프로그램 내에서 자동화 방지 취약점을 방지해야 합니다.

자동화 부족에 대한 자세한 정보

추가 읽기를 위해 OWASP가 자동화가 부족한것에 대해 말하는 것을 살펴 볼 수 있습니다. 또한 새로운 방어 지식을 테스트에 넣을 수 있습니다. Secure Code Warrior 사이버 보안 팀이 궁극적인 사이버 전사가 될 수 있도록 하는 플랫폼. 이 취약점을 물리치는 것에 대해 자세히 알아보려면 Secure Code Warrior 블로그.

지금 당장 자동화가 부족한 안티 오토메이션을 찾고 수정할 준비가 되셨습니까? 우리의 게임 경기장에서 당신의 능력을 테스트 : [여기에서 시작]

리소스 보기
리소스 보기

저자

야프 카란 싱

더 알고 싶으신가요?

블로그에서 최신 보안 코딩 인사이트에 대해 자세히 알아보세요.

Atlassian의 광범위한 리소스 라이브러리는 안전한 코딩 숙련도를 확보하기 위한 인적 접근 방식을 강화하는 것을 목표로 합니다.

블로그 보기
더 알고 싶으신가요?

개발자 중심 보안에 대한 최신 연구 보기

광범위한 리소스 라이브러리에는 개발자 중심의 보안 코딩을 시작하는 데 도움이 되는 백서부터 웨비나까지 유용한 리소스가 가득합니다. 지금 살펴보세요.

리소스 허브

코더는 보안을 정복 : 공유 및 학습 시리즈 - 부족한 안티 오토메이션

게시일: 2019년 4월 4일
Jaap Karan Singh

오래된 말하기 쉬운 또는 지하 클럽의 문에 가는 것을 상상해보십시오. 도어의 작은 구멍이 열리고 버리 바운서가 암호를 요청합니다. 잠재적인 방문자는 암호를 모르고 추측을합니다. 그것은 잘못, 그래서 바운서 안에 그들을 못하게.

그것은 일반적으로 일어날 것입니다. 이제 잘못된 암호를 추측 한 방문자가 즉시 다시 시도하고 잘못되고 다시 액세스가 거부된다고 상상해보십시오. 그런 다음 잠재적 인 방문자가 사전을 열고 aardvark 같은 것을 시작하고 가능한 모든 단어를 시도하기 시작, 단어를 읽기 시작합니다 상상해보십시오.

대부분의 경우, 바운서가 그런 종류의 활동을 허용하지 는 않지만 자동화 가 부족한 웹 사이트및 응용 프로그램은 그렇게합니다. 그들은 사용자가 암호를 계속 시도 할 수 있습니다, 심지어 자동화 기술을 사용하여, 그들은 마침내 적절한 캐치 프레이즈를 우연히 발견 할 때까지.

이 에피소드에서는 다음을 배우게 됩니다.

  • 공격자가 자동화가 부족한 방법을 악용하는 방법
  • 자동화가 부족한 응용 프로그램이 위험한 이유
  • 이 취약점을 해결할 수 있는 기술입니다.

공격자는 자동화가 부족한 방법을 악용합니까?

우리의 상상의 말하기 쉬운 방문자와 같은 자동화 또는 사전 스타일의 공격을 사용하는 것은 사이버 보안에 새로운 것이 아닙니다. 사실, 그 무차별 힘 스타일 공격은 지금까지 배포 된 최초의 해커 기술 중 일부였다. 컴퓨터가 더 빠르게 성장함에 따라 점점 더 효율적이되었습니다. 빠른 컴퓨터는 공격 컴퓨터와 대상 시스템 간의 연결 속도에 따라 단 몇 분 만에 전체 단어 사전을 실행할 수 있습니다.

이러한 종류의 자동화 된 공격은 자동화 방지 소프트웨어와 기술이 만들어지는 이유였습니다. 응용 프로그램에서 사용자가 취하는 작업이 일반적인 인간의 행동의 규범 을 벗어난지 확인할 수 있습니다.

응용 프로그램에 자동화 방지 검사가 부족한 경우 공격자는 일치하는 경우 암호를 계속 추측할 수 있습니다. 또는 자동화 소프트웨어를 사용하여 웹 사이트 포럼에 스팸 댓글과 같은 다른 작업을 수행할 수 있습니다.

자동화 가 부족한 경우 위험합니까?

악의적인 사용자가 자동화를 사용하여 보안을 우회하도록 허용하는 것은 위험할 수 있습니다. 자동화 유형 공격이 컴퓨팅 초기부터 지금까지 지속된 이유는 매우 효과적일 수 있기 때문입니다. 자동화 프로그램에 잘못된 추측에 대한 결과없이 암호를 제출하는 데 무제한의 시간을 제공하면 결국 올바른 암호를 찾을 수 있습니다.

포럼과 같은 경우에, 명백하게 스크립트 된 댓글의 물결을 갖는 것은 유효한 사용자를 좌절 시킬 수 있습니다, 또는 시스템 리소스를 낭비에 의해 서비스 거부 공격의 일종처럼 행동. 자동 게시는 피싱 이나 다른 공격의 도구로 사용 될 수 있습니다 가능한 한 많은 사람들에게 미끼를 노출.

자동화 방지 문제 해결

자동화 가 부족한 문제를 해결하기 위해 모든 응용 프로그램에는 사람이나 자동화 소프트웨어에 의해 수행되는 작업이 구현되는지 여부를 확인할 수 있어야 합니다. 가장 인기 있고 널리 사용되는 기술 중 하나는 컴퓨터와 인간을 구별하는 완전 자동화 된 공개 튜링 테스트입니다.

CAPTCHA는 기본적으로 1950년 컴퓨터 과학자 앨런 튜링(Alan Turing)이 처음 제안한 튜링 테스트로,인간과 컴퓨터의 행동을 분리하고 식별할 수 있습니다. 현대 CAPTCHA는 인간이 쉽게 해결할 수있는 문제를 제시하지만, 어떤 컴퓨터가 어려움을 겪고, 또는 단순히 알아낼 수 없습니다. 인기있는 하나는 그리드로 분리 된 사진을 제시하고 꽃이나 얼굴과 같은 특정 항목으로 모든 섹터를 식별하도록 사용자에게 요청합니다. 컴퓨터는 요구되는 것을 이해할 수 없으므로 이미지를 스캔하려고 시도조차 할 수 없습니다. 비록 할 수 있더라도 이미지 인식은 특별히 제작되지 않은 대부분의 프로그램을 넘어섭습니다.

CAPTCHA의 다른 예로는 흐릿한 텍스트를 표시하거나 간단한 논리 질문을 하거나 질문을 큰 소리로 재생하는 것이 있습니다. 암호를 묻는 메시지가 표시될 때와 같이 응용 프로그램의 중요한 지점에서 CAPTCHA 문제를 구현하면 트랙에서 자동화 프로그램을 중지할 수 있습니다.

또한 동일한 소스에서 잘못된 추측 수를 제한하여 자동화 프로그램을 중지할 수도 있습니다. 잘못된 추측이 너무 많으면 계정을 일시적으로 잠글 수 있으므로 유용성 지점을 지나 자동화 프로그램이 지연되거나 휴먼 관리자가 잠금을 해제해야 할 수도 있습니다. 이러한 작업을 수행하면 응용 프로그램 내에서 자동화 방지 취약점을 방지해야 합니다.

자동화 부족에 대한 자세한 정보

추가 읽기를 위해 OWASP가 자동화가 부족한것에 대해 말하는 것을 살펴 볼 수 있습니다. 또한 새로운 방어 지식을 테스트에 넣을 수 있습니다. Secure Code Warrior 사이버 보안 팀이 궁극적인 사이버 전사가 될 수 있도록 하는 플랫폼. 이 취약점을 물리치는 것에 대해 자세히 알아보려면 Secure Code Warrior 블로그.

지금 당장 자동화가 부족한 안티 오토메이션을 찾고 수정할 준비가 되셨습니까? 우리의 게임 경기장에서 당신의 능력을 테스트 : [여기에서 시작]

우리는 당신에게 우리의 제품 및 / 또는 관련 보안 코딩 주제에 대한 정보를 보낼 수있는 귀하의 허가를 바랍니다. 우리는 항상 최대한의주의를 기울여 귀하의 개인 정보를 취급 할 것이며 마케팅 목적으로 다른 회사에 판매하지 않을 것입니다.

양식을 제출하려면 '분석' 쿠키를 활성화하세요. 완료되면 언제든지 다시 비활성화할 수 있습니다.