코더는 보안을 정복 : 공유 및 학습 시리즈 - 인증

게시일: 2019년 4월 11일
by Jaap Karan Singh
사례 연구

코더는 보안을 정복 : 공유 및 학습 시리즈 - 인증

게시일: 2019년 4월 11일
by Jaap Karan Singh
리소스 보기
리소스 보기

이 블로그에서는 웹 사이트를 실행하거나 직원이 원격으로 컴퓨터 리소스에 액세스할 수 있는 조직에서 직면한 가장 일반적인 문제 중 하나를 다룰 것입니다. 그리고 네, 당신은 아마 우리가 인증에 대해 이야기 할 거라고 짐작.

해커가 유효한 사용자 이름과 암호를 가진 관리자로 시스템에 로그인할 수 있는 경우 네트워크 방어를 위해 고급 기술을 배포할 필요가 없습니다. 시스템은 단순히 문을 열고 내부 공격자를 할 수 있습니다. 더 나쁜 것은 공격자가 너무 이상한 일을하지 않으면 대부분의 방어가 단순히 유효한 사용자 또는 관리자로 간주하기 때문에 그들의 존재를 감지하는 것은 거의 불가능합니다.

인증 취약점의 범주는 매우 크지만 실수로 사용자 로그인 프로세스에 구워지는 경향이있는 가장 일반적인 문제를 극복 할 것입니다. 이러한 구멍을 제거하면 조직에서 대부분의 인증 문제를 제거할 수 있습니다.

이 에피소드에서는 다음을 배우게 됩니다.

  • 몇 가지 일반적인 인증 취약점이 악용되는 방법
  • 왜 그렇게 위험합니까?
  • 인증 취약점을 제거하는 데 사용할 수 있는 정책과 기술입니다.

공격자는 인증 취약점을 악용하는 방법은 무엇입니까?

인증 시스템에 들어갈 수 있는 인증 취약점이 꽤 많기 때문에 해커는 각 취약점을 조금 다르게 악용합니다. 먼저 가장 일반적인 취약점을 살펴보겠고 몇 가지 취약점이 어떻게 악용되는지 보여주는 예제를 제공해 보겠습니다.

가장 일반적인 인증 취약점은 다음과 같습니다.

  • 암호 정책이 약하거나 부적절한 경우
  • 무제한 로그인 시도 허용,
  • 실패한 로그인시 공격자에게 정보를 다시 제공,
  • 안전하지 않은 채널을 통해 자격 증명을 보내고,
  • 약하게 해시 암호,
  • 그리고 안전하지 않은 암호 복구 프로세스를 가지고.

암호 정책이 약한 것이 가장 일반적인 취약점일 수 있습니다. 사용자가 제한 없이 암호를 만들 수 있는 경우 너무 많은 암호를 쉽게 추측 할 수 있습니다. 매년 다양한 컴퓨터 뉴스 조직이 가장 많이 사용되는 암호 목록을 내놓고 "123456"과 "암호"는 항상 상위 5위 안에 들 수 있습니다. 다른 사람들이 있습니다. 관리자는 "하나님"을 꽤 많이 사용하는 것을 좋아합니다. 사실, 그들은 모두 유머 또는 기억하기 쉬운 중 하나, 뿐만 아니라 추측하기 매우 쉽습니다. 해커는 가장 일반적인 암호가 무엇인지 알고 시스템을 위반하려고 할 때 먼저 시도합니다. 조직에서 이러한 종류의 암호가 허용되는 경우 결국 위반됩니다.

덜 분명하지만 여전히 위험한 취약점은 실패한 로그인과 관련하여 사용자에게 정보를 다시 제공하는 것입니다. 사용자 이름이 존재하지 않고 암호가 잘못될 때 하나의 메시지를 반환하면 공격자가 시스템에 유효한 사용자를 매핑하고 해당 사용자 이름에 대해 암호를 추측하는 데 집중할 수 있기 때문입니다. 무제한 암호 추측을 허용하는 인증 취약점과 결합된 경우 공격자가 발견한 유효한 사용자에 대한 사전 공격을 실행할 수 있으므로 암호를 추측하기 쉬운 경우 시스템에 상당히 빠르게 들어갈 수 있습니다.

인증 취약점이 왜 그렇게 위험합니까?

미국 올드 웨스트에서 그의 현관문에 트리플 잠금 장치를 설치하고 창문을 열고 쉽게 도달 할 수있는 많은 총으로 잤던 편집증 적 집에 대한 고전 이야기가 있습니다. 아침에 그는 죽은 채로 발견되었습니다. 그의 공격자는 그가 뒷문을 잠그는 것을 잊고 있기 때문에 그에게 도착했다. 인증 취약점은 다음과 같습니다. 공격자가 유효한 사용자 이름과 암호를 사용하여 네트워크에 들어갈 수 있는 경우 어떤 종류의 모니터링 도구 또는 사전 제어 기능을 사용할지 또는 얼마나 많은 전문 분석가가 고용하는지는 중요하지 않습니다.

일단 내부에, 그 공격자가 할 수있는 일에 거의 제한이 있다. 관리자 계정을 손상한 경우 매우 광범위할 수 있는 사용자 권한 내에서 행동하는 한 심각한 문제를 예방하기 위해 제 시간에 잡힐 가능성은 거의 없습니다. 따라서 취약점의 인증 클래스는 모든 시스템에서 가장 위험합니다.

인증 취약점 제거

네트워크에서 인증 취약점을 제거하는 가장 좋은 방법 중 하나는 전 세계적으로 시행되는 좋은 암호 정책을 갖는 것입니다. 사용자, 심지어 관리자도 "암호"와 같은 암호를 사용하는 것을 제한해야 할 뿐만 아니라 공격자가 사전 또는 일반적인 구 유형의 공격 유형을 적용하는 것이 불가능할 수 있도록 복잡성 수준에 추가해야 합니다. 보호되는 시스템의 중요성에 따라 암호 만들기에 대한 고유한 규칙을 생각해 볼 수 있습니다. 이렇게 하면 공격자가 암호를 추측하거나 무차별 암호로 추측하기가 훨씬 어려워집니다.

또한 잘못된 암호를 세 번 이상 입력하면 사용자가 잠겨 있도록 실패한 로그인 시도 횟수를 제한해야 합니다. 몇 분 지연으로 인해 자동화된 사전 공격이 계속되지 않도록 잠금이 일시적일 수 있습니다. 또는 관리자가 계정을 잠금 해제하지 않는 한 영구적일 수 있습니다. 두 경우 모두 이러한 잠금이 발생할 때마다 보안 담당자에게 경고를 하여 상황을 모니터링할 수 있습니다.

공격자가 정보를 수집하지 못하도록 하는 또 다른 좋은 방법은 잘못된 사용자 이름이나 암호를 입력할 때마다 일반 메시지를 만드는 것입니다. 해커가 사용자가 존재하지 않거나 잘못된 암호를 가지고 있기 때문에 거부되었는지 알 수 있도록 두 경우 모두 동일해야 합니다.

인증 취약점은 대부분의 시스템에서 가장 일반적이고 위험한 취약점 중 하나입니다. 그러나 그들은 또한 찾아서 제거하는 것이 매우 쉽습니다.

인증 취약점에 대한 자세한 정보

자세한 내용은 OWASP 인증 치트 시트를살펴볼 수 있습니다. 또한 새로운 방어 지식을 테스트에 넣을 수 있습니다. Secure Code Warrior 사이버 보안 팀이 궁극적인 사이버 전사가 될 수 있도록 하는 플랫폼. 이 취약점을 물리치는 것에 대해 자세히 알아보려면 Secure Code Warrior 블로그.

단계및 인증 취약점에 정면으로 직면 Secure Code Warrior 플랫폼: [여기에서 시작]

리소스 보기
리소스 보기

저자

야프 카란 싱

더 알고 싶으신가요?

블로그에서 최신 보안 코딩 인사이트에 대해 자세히 알아보세요.

Atlassian의 광범위한 리소스 라이브러리는 안전한 코딩 숙련도를 확보하기 위한 인적 접근 방식을 강화하는 것을 목표로 합니다.

블로그 보기
더 알고 싶으신가요?

개발자 중심 보안에 대한 최신 연구 보기

광범위한 리소스 라이브러리에는 개발자 중심의 보안 코딩을 시작하는 데 도움이 되는 백서부터 웨비나까지 유용한 리소스가 가득합니다. 지금 살펴보세요.

리소스 허브

코더는 보안을 정복 : 공유 및 학습 시리즈 - 인증

게시일: 2019년 4월 11일
Jaap Karan Singh

이 블로그에서는 웹 사이트를 실행하거나 직원이 원격으로 컴퓨터 리소스에 액세스할 수 있는 조직에서 직면한 가장 일반적인 문제 중 하나를 다룰 것입니다. 그리고 네, 당신은 아마 우리가 인증에 대해 이야기 할 거라고 짐작.

해커가 유효한 사용자 이름과 암호를 가진 관리자로 시스템에 로그인할 수 있는 경우 네트워크 방어를 위해 고급 기술을 배포할 필요가 없습니다. 시스템은 단순히 문을 열고 내부 공격자를 할 수 있습니다. 더 나쁜 것은 공격자가 너무 이상한 일을하지 않으면 대부분의 방어가 단순히 유효한 사용자 또는 관리자로 간주하기 때문에 그들의 존재를 감지하는 것은 거의 불가능합니다.

인증 취약점의 범주는 매우 크지만 실수로 사용자 로그인 프로세스에 구워지는 경향이있는 가장 일반적인 문제를 극복 할 것입니다. 이러한 구멍을 제거하면 조직에서 대부분의 인증 문제를 제거할 수 있습니다.

이 에피소드에서는 다음을 배우게 됩니다.

  • 몇 가지 일반적인 인증 취약점이 악용되는 방법
  • 왜 그렇게 위험합니까?
  • 인증 취약점을 제거하는 데 사용할 수 있는 정책과 기술입니다.

공격자는 인증 취약점을 악용하는 방법은 무엇입니까?

인증 시스템에 들어갈 수 있는 인증 취약점이 꽤 많기 때문에 해커는 각 취약점을 조금 다르게 악용합니다. 먼저 가장 일반적인 취약점을 살펴보겠고 몇 가지 취약점이 어떻게 악용되는지 보여주는 예제를 제공해 보겠습니다.

가장 일반적인 인증 취약점은 다음과 같습니다.

  • 암호 정책이 약하거나 부적절한 경우
  • 무제한 로그인 시도 허용,
  • 실패한 로그인시 공격자에게 정보를 다시 제공,
  • 안전하지 않은 채널을 통해 자격 증명을 보내고,
  • 약하게 해시 암호,
  • 그리고 안전하지 않은 암호 복구 프로세스를 가지고.

암호 정책이 약한 것이 가장 일반적인 취약점일 수 있습니다. 사용자가 제한 없이 암호를 만들 수 있는 경우 너무 많은 암호를 쉽게 추측 할 수 있습니다. 매년 다양한 컴퓨터 뉴스 조직이 가장 많이 사용되는 암호 목록을 내놓고 "123456"과 "암호"는 항상 상위 5위 안에 들 수 있습니다. 다른 사람들이 있습니다. 관리자는 "하나님"을 꽤 많이 사용하는 것을 좋아합니다. 사실, 그들은 모두 유머 또는 기억하기 쉬운 중 하나, 뿐만 아니라 추측하기 매우 쉽습니다. 해커는 가장 일반적인 암호가 무엇인지 알고 시스템을 위반하려고 할 때 먼저 시도합니다. 조직에서 이러한 종류의 암호가 허용되는 경우 결국 위반됩니다.

덜 분명하지만 여전히 위험한 취약점은 실패한 로그인과 관련하여 사용자에게 정보를 다시 제공하는 것입니다. 사용자 이름이 존재하지 않고 암호가 잘못될 때 하나의 메시지를 반환하면 공격자가 시스템에 유효한 사용자를 매핑하고 해당 사용자 이름에 대해 암호를 추측하는 데 집중할 수 있기 때문입니다. 무제한 암호 추측을 허용하는 인증 취약점과 결합된 경우 공격자가 발견한 유효한 사용자에 대한 사전 공격을 실행할 수 있으므로 암호를 추측하기 쉬운 경우 시스템에 상당히 빠르게 들어갈 수 있습니다.

인증 취약점이 왜 그렇게 위험합니까?

미국 올드 웨스트에서 그의 현관문에 트리플 잠금 장치를 설치하고 창문을 열고 쉽게 도달 할 수있는 많은 총으로 잤던 편집증 적 집에 대한 고전 이야기가 있습니다. 아침에 그는 죽은 채로 발견되었습니다. 그의 공격자는 그가 뒷문을 잠그는 것을 잊고 있기 때문에 그에게 도착했다. 인증 취약점은 다음과 같습니다. 공격자가 유효한 사용자 이름과 암호를 사용하여 네트워크에 들어갈 수 있는 경우 어떤 종류의 모니터링 도구 또는 사전 제어 기능을 사용할지 또는 얼마나 많은 전문 분석가가 고용하는지는 중요하지 않습니다.

일단 내부에, 그 공격자가 할 수있는 일에 거의 제한이 있다. 관리자 계정을 손상한 경우 매우 광범위할 수 있는 사용자 권한 내에서 행동하는 한 심각한 문제를 예방하기 위해 제 시간에 잡힐 가능성은 거의 없습니다. 따라서 취약점의 인증 클래스는 모든 시스템에서 가장 위험합니다.

인증 취약점 제거

네트워크에서 인증 취약점을 제거하는 가장 좋은 방법 중 하나는 전 세계적으로 시행되는 좋은 암호 정책을 갖는 것입니다. 사용자, 심지어 관리자도 "암호"와 같은 암호를 사용하는 것을 제한해야 할 뿐만 아니라 공격자가 사전 또는 일반적인 구 유형의 공격 유형을 적용하는 것이 불가능할 수 있도록 복잡성 수준에 추가해야 합니다. 보호되는 시스템의 중요성에 따라 암호 만들기에 대한 고유한 규칙을 생각해 볼 수 있습니다. 이렇게 하면 공격자가 암호를 추측하거나 무차별 암호로 추측하기가 훨씬 어려워집니다.

또한 잘못된 암호를 세 번 이상 입력하면 사용자가 잠겨 있도록 실패한 로그인 시도 횟수를 제한해야 합니다. 몇 분 지연으로 인해 자동화된 사전 공격이 계속되지 않도록 잠금이 일시적일 수 있습니다. 또는 관리자가 계정을 잠금 해제하지 않는 한 영구적일 수 있습니다. 두 경우 모두 이러한 잠금이 발생할 때마다 보안 담당자에게 경고를 하여 상황을 모니터링할 수 있습니다.

공격자가 정보를 수집하지 못하도록 하는 또 다른 좋은 방법은 잘못된 사용자 이름이나 암호를 입력할 때마다 일반 메시지를 만드는 것입니다. 해커가 사용자가 존재하지 않거나 잘못된 암호를 가지고 있기 때문에 거부되었는지 알 수 있도록 두 경우 모두 동일해야 합니다.

인증 취약점은 대부분의 시스템에서 가장 일반적이고 위험한 취약점 중 하나입니다. 그러나 그들은 또한 찾아서 제거하는 것이 매우 쉽습니다.

인증 취약점에 대한 자세한 정보

자세한 내용은 OWASP 인증 치트 시트를살펴볼 수 있습니다. 또한 새로운 방어 지식을 테스트에 넣을 수 있습니다. Secure Code Warrior 사이버 보안 팀이 궁극적인 사이버 전사가 될 수 있도록 하는 플랫폼. 이 취약점을 물리치는 것에 대해 자세히 알아보려면 Secure Code Warrior 블로그.

단계및 인증 취약점에 정면으로 직면 Secure Code Warrior 플랫폼: [여기에서 시작]

우리는 당신에게 우리의 제품 및 / 또는 관련 보안 코딩 주제에 대한 정보를 보낼 수있는 귀하의 허가를 바랍니다. 우리는 항상 최대한의주의를 기울여 귀하의 개인 정보를 취급 할 것이며 마케팅 목적으로 다른 회사에 판매하지 않을 것입니다.

양식을 제출하려면 '분석' 쿠키를 활성화하세요. 완료되면 언제든지 다시 비활성화할 수 있습니다.