코더즈 컨커 시큐리티: 셰어 앤 런 시리즈 - 인증
이 블로그에서는 웹 사이트를 운영하거나 직원들이 컴퓨터 리소스에 원격으로 액세스할 수 있도록 허용하는 조직 (거의 모든 사람) 이 직면하는 가장 일반적인 문제 중 하나를 다룰 것입니다.네, 아마 이번 글에서 인증에 대해 이야기할 것이라고 짐작하셨을 것입니다.
해커가 유효한 사용자 이름과 암호를 사용하여 관리자로 시스템에 로그인하기만 하면 네트워크 방어를 위한 고급 기술을 배포할 필요가 없습니다.시스템은 단순히 문을 열고 공격자가 안으로 들어갈 수 있게 합니다.설상가상으로 공격자가 너무 엉뚱한 행동을 하지 않으면 공격자의 존재를 탐지하는 것이 거의 불가능합니다. 대부분의 방어 체계에서는 공격자가 자신의 업무를 수행하는 유효한 사용자나 관리자로 인식하기 때문입니다.
인증 취약성의 범주는 상당히 크지만, 사용자 로그인 프로세스에 실수로 영향을 받기 쉬운 가장 일반적인 문제를 살펴보겠습니다.이러한 허점을 보완하면 조직에서 발생하는 인증 문제의 대부분을 제거할 수 있습니다.
이 에피소드에서는 다음을 배우게 됩니다.
- 몇 가지 일반적인 인증 취약점이 악용되는 방법
- 왜 그렇게 위험한가요?
- 인증 취약점을 제거하는 데 사용할 수 있는 정책과 기술은 무엇입니까?
공격자는 인증 취약점을 어떻게 악용합니까?
인증 시스템에 침투할 수 있는 인증 취약점이 상당히 많기 때문에 해커들은 각 취약점을 약간씩 다르게 악용합니다.먼저 가장 일반적인 취약점을 살펴보고 그 중 몇 가지가 어떻게 악용될 수 있는지 보여주는 예를 들어 보겠습니다.
가장 일반적인 인증 취약점은 다음과 같습니다.
- 암호 정책이 약하거나 부적절한 경우
- 무제한 로그인 시도 허용,
- 로그인 실패 시 공격자에게 정보 제공
- 안전하지 않은 채널을 통한 자격 증명 전송
- 암호 해싱이 약합니다.
- 그리고 암호 복구 프로세스가 안전하지 않습니다.
암호 정책이 취약하다는 것이 가장 일반적인 취약점일 수 있습니다.사용자가 제한 없이 암호를 만들 수 있게 허용하면 추측 가능한 암호를 사용하는 사용자가 너무 많습니다.매년 여러 컴퓨터 뉴스에서는 가장 많이 사용되는 암호 목록을 발표하는데, “123456"과 “password”는 항상 상위 5위 안에 들었습니다.다른 것들도 있습니다.관리자는 “God”를 꽤 많이 사용하는 것을 좋아합니다.사실, 모두 유머러스하거나 기억하기 쉬울 뿐만 아니라 추측하기도 매우 쉽습니다.해커는 가장 일반적인 암호가 무엇인지 알고 있으며 시스템 침해를 시도할 때 가장 먼저 시도합니다.조직에서 이러한 종류의 암호를 허용하면 결국에는 보안 침해를 당할 수 있습니다.
덜 분명하지만 여전히 위험한 취약점은 로그인 실패와 관련된 정보를 사용자에게 다시 제공하는 것입니다.이는 좋지 않습니다. 사용자 이름이 존재하지 않을 때 하나의 메시지를 반환하고 사용자 이름은 존재하지만 암호가 잘못된 경우 다른 메시지를 반환하면 공격자가 시스템에서 유효한 사용자를 찾아내어 해당 사용자 이름에 대한 암호를 추측하는 데 집중할 수 있기 때문입니다.여기에 무제한 암호 추측을 허용하는 인증 취약점이 결합되면 공격자는 찾은 유효한 사용자에 대해 사전 공격을 실행할 수 있으며, 암호를 쉽게 추측할 수 있는 경우 상당히 빠르게 시스템에 침입할 수 있습니다.
인증 취약점이 왜 그렇게 위험한가요?
미국 구서부 (American Old West) 에는 편집증적인 농가가 현관문에 세 개의 자물쇠를 설치하고 창문에 올라가 손이 쉽게 닿을 수 있는 곳에서 총을 많이 들고 잠을 잤다는 이야기가 전해집니다.아침에 그는 죽은 채로 발견되었어요.뒷문을 잠그는 걸 잊었기 때문에 공격자들이 그를 잡았어요인증 취약점은 이와 매우 비슷합니다.공격자가 유효한 사용자 이름과 암호를 사용하여 네트워크에 침입할 수 있는지, 어떤 종류의 모니터링 도구나 사전 제어 기능을 갖추고 있는지, 얼마나 많은 전문 분석가를 고용하는지는 중요하지 않습니다.
일단 안으로 들어가면 공격자가 할 수 있는 일에 대한 제한이 거의 없습니다.공격자가 관리자 계정을 침해한 경우 상당히 광범위할 수 있는 사용자 권한 내에서 행동하는 한, 심각한 문제를 미연에 방지할 가능성은 거의 없습니다.따라서 인증 등급의 취약성은 모든 시스템에서 발생할 수 있는 가장 위험한 취약점 중 하나입니다.
인증 취약성 제거
네트워크에서 인증 취약점을 제거하는 가장 좋은 방법 중 하나는 전 세계적으로 적용되는 적절한 암호 정책을 마련하는 것입니다.사용자, 심지어 관리자도 “암호”와 같은 암호를 사용하지 못하도록 제한해야 할 뿐만 아니라 공격자가 사전이나 일반적인 문구 유형의 공격을 적용할 수 없도록 복잡성을 추가하도록 강요해야 합니다.보호되는 시스템의 중요도에 따라 암호 생성에 대한 자체 규칙을 마련할 수 있습니다.이렇게 하면 공격자가 암호를 추측하거나 무차별 대입하기가 훨씬 더 어려워집니다.
또한 잘못된 암호를 세 번 이상 입력하면 사용자가 잠기도록 로그인 실패 횟수를 제한해야 합니다.잠금은 일시적일 수 있습니다. 단 몇 분만 지연되어도 자동 딕셔너리 공격이 계속되는 것을 막을 수 있기 때문입니다.또는 관리자가 계정을 잠금 해제하지 않는 한 영구적일 수도 있습니다.어떤 경우든 이러한 잠금이 발생할 때마다 보안 담당자에게 알려 상황을 모니터링할 수 있도록 해야 합니다.
공격자가 정보를 수집하지 못하도록 방지하는 또 다른 좋은 방법은 잘못된 사용자 이름이나 암호를 입력할 때마다 일반적인 메시지를 작성하는 것입니다.사용자가 존재하지 않거나 잘못된 암호를 사용하여 거부되었는지 해커가 알 수 없도록 두 경우 모두 동일해야 합니다.
인증 취약성은 대부분의 시스템에서 가장 흔하고 위험합니다.하지만 발견하고 제거하기도 매우 쉽습니다.
인증 취약성에 대한 추가 정보
자세한 내용은 OWASP를 참조하십시오. 인증 치트 시트.또한 다음과 같이 새로 발견한 방어 지식을 테스트할 수 있습니다. 무료 데모 사이버 보안 팀이 궁극의 사이버 전사가 될 수 있도록 교육하는 Secure Code Warrior 플랫폼을 활용했습니다.이 취약점을 해결하는 방법과 기타 위협의 도적 갤러리를 자세히 알아보려면 다음 사이트를 방문하십시오. 시큐어 코드 워리어 블로그.
한 걸음 더 나아가 시큐어 코드 워리어 플랫폼의 인증 취약점에 정면으로 맞서세요. [여기서 시작]
웹 사이트를 운영하거나 직원들이 컴퓨터 리소스에 원격으로 액세스할 수 있도록 하는 조직, 즉 거의 모든 사람이 직면하는 가장 일반적인 문제 중 하나를 다루겠습니다.네, 아마도 우리가 인증에 대해 이야기할 것이라고 짐작하셨을 것입니다.
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez prendre rendez-vous pour une démonstration.
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
이 블로그에서는 웹 사이트를 운영하거나 직원들이 컴퓨터 리소스에 원격으로 액세스할 수 있도록 허용하는 조직 (거의 모든 사람) 이 직면하는 가장 일반적인 문제 중 하나를 다룰 것입니다.네, 아마 이번 글에서 인증에 대해 이야기할 것이라고 짐작하셨을 것입니다.
해커가 유효한 사용자 이름과 암호를 사용하여 관리자로 시스템에 로그인하기만 하면 네트워크 방어를 위한 고급 기술을 배포할 필요가 없습니다.시스템은 단순히 문을 열고 공격자가 안으로 들어갈 수 있게 합니다.설상가상으로 공격자가 너무 엉뚱한 행동을 하지 않으면 공격자의 존재를 탐지하는 것이 거의 불가능합니다. 대부분의 방어 체계에서는 공격자가 자신의 업무를 수행하는 유효한 사용자나 관리자로 인식하기 때문입니다.
인증 취약성의 범주는 상당히 크지만, 사용자 로그인 프로세스에 실수로 영향을 받기 쉬운 가장 일반적인 문제를 살펴보겠습니다.이러한 허점을 보완하면 조직에서 발생하는 인증 문제의 대부분을 제거할 수 있습니다.
이 에피소드에서는 다음을 배우게 됩니다.
- 몇 가지 일반적인 인증 취약점이 악용되는 방법
- 왜 그렇게 위험한가요?
- 인증 취약점을 제거하는 데 사용할 수 있는 정책과 기술은 무엇입니까?
공격자는 인증 취약점을 어떻게 악용합니까?
인증 시스템에 침투할 수 있는 인증 취약점이 상당히 많기 때문에 해커들은 각 취약점을 약간씩 다르게 악용합니다.먼저 가장 일반적인 취약점을 살펴보고 그 중 몇 가지가 어떻게 악용될 수 있는지 보여주는 예를 들어 보겠습니다.
가장 일반적인 인증 취약점은 다음과 같습니다.
- 암호 정책이 약하거나 부적절한 경우
- 무제한 로그인 시도 허용,
- 로그인 실패 시 공격자에게 정보 제공
- 안전하지 않은 채널을 통한 자격 증명 전송
- 암호 해싱이 약합니다.
- 그리고 암호 복구 프로세스가 안전하지 않습니다.
암호 정책이 취약하다는 것이 가장 일반적인 취약점일 수 있습니다.사용자가 제한 없이 암호를 만들 수 있게 허용하면 추측 가능한 암호를 사용하는 사용자가 너무 많습니다.매년 여러 컴퓨터 뉴스에서는 가장 많이 사용되는 암호 목록을 발표하는데, “123456"과 “password”는 항상 상위 5위 안에 들었습니다.다른 것들도 있습니다.관리자는 “God”를 꽤 많이 사용하는 것을 좋아합니다.사실, 모두 유머러스하거나 기억하기 쉬울 뿐만 아니라 추측하기도 매우 쉽습니다.해커는 가장 일반적인 암호가 무엇인지 알고 있으며 시스템 침해를 시도할 때 가장 먼저 시도합니다.조직에서 이러한 종류의 암호를 허용하면 결국에는 보안 침해를 당할 수 있습니다.
덜 분명하지만 여전히 위험한 취약점은 로그인 실패와 관련된 정보를 사용자에게 다시 제공하는 것입니다.이는 좋지 않습니다. 사용자 이름이 존재하지 않을 때 하나의 메시지를 반환하고 사용자 이름은 존재하지만 암호가 잘못된 경우 다른 메시지를 반환하면 공격자가 시스템에서 유효한 사용자를 찾아내어 해당 사용자 이름에 대한 암호를 추측하는 데 집중할 수 있기 때문입니다.여기에 무제한 암호 추측을 허용하는 인증 취약점이 결합되면 공격자는 찾은 유효한 사용자에 대해 사전 공격을 실행할 수 있으며, 암호를 쉽게 추측할 수 있는 경우 상당히 빠르게 시스템에 침입할 수 있습니다.
인증 취약점이 왜 그렇게 위험한가요?
미국 구서부 (American Old West) 에는 편집증적인 농가가 현관문에 세 개의 자물쇠를 설치하고 창문에 올라가 손이 쉽게 닿을 수 있는 곳에서 총을 많이 들고 잠을 잤다는 이야기가 전해집니다.아침에 그는 죽은 채로 발견되었어요.뒷문을 잠그는 걸 잊었기 때문에 공격자들이 그를 잡았어요인증 취약점은 이와 매우 비슷합니다.공격자가 유효한 사용자 이름과 암호를 사용하여 네트워크에 침입할 수 있는지, 어떤 종류의 모니터링 도구나 사전 제어 기능을 갖추고 있는지, 얼마나 많은 전문 분석가를 고용하는지는 중요하지 않습니다.
일단 안으로 들어가면 공격자가 할 수 있는 일에 대한 제한이 거의 없습니다.공격자가 관리자 계정을 침해한 경우 상당히 광범위할 수 있는 사용자 권한 내에서 행동하는 한, 심각한 문제를 미연에 방지할 가능성은 거의 없습니다.따라서 인증 등급의 취약성은 모든 시스템에서 발생할 수 있는 가장 위험한 취약점 중 하나입니다.
인증 취약성 제거
네트워크에서 인증 취약점을 제거하는 가장 좋은 방법 중 하나는 전 세계적으로 적용되는 적절한 암호 정책을 마련하는 것입니다.사용자, 심지어 관리자도 “암호”와 같은 암호를 사용하지 못하도록 제한해야 할 뿐만 아니라 공격자가 사전이나 일반적인 문구 유형의 공격을 적용할 수 없도록 복잡성을 추가하도록 강요해야 합니다.보호되는 시스템의 중요도에 따라 암호 생성에 대한 자체 규칙을 마련할 수 있습니다.이렇게 하면 공격자가 암호를 추측하거나 무차별 대입하기가 훨씬 더 어려워집니다.
또한 잘못된 암호를 세 번 이상 입력하면 사용자가 잠기도록 로그인 실패 횟수를 제한해야 합니다.잠금은 일시적일 수 있습니다. 단 몇 분만 지연되어도 자동 딕셔너리 공격이 계속되는 것을 막을 수 있기 때문입니다.또는 관리자가 계정을 잠금 해제하지 않는 한 영구적일 수도 있습니다.어떤 경우든 이러한 잠금이 발생할 때마다 보안 담당자에게 알려 상황을 모니터링할 수 있도록 해야 합니다.
공격자가 정보를 수집하지 못하도록 방지하는 또 다른 좋은 방법은 잘못된 사용자 이름이나 암호를 입력할 때마다 일반적인 메시지를 작성하는 것입니다.사용자가 존재하지 않거나 잘못된 암호를 사용하여 거부되었는지 해커가 알 수 없도록 두 경우 모두 동일해야 합니다.
인증 취약성은 대부분의 시스템에서 가장 흔하고 위험합니다.하지만 발견하고 제거하기도 매우 쉽습니다.
인증 취약성에 대한 추가 정보
자세한 내용은 OWASP를 참조하십시오. 인증 치트 시트.또한 다음과 같이 새로 발견한 방어 지식을 테스트할 수 있습니다. 무료 데모 사이버 보안 팀이 궁극의 사이버 전사가 될 수 있도록 교육하는 Secure Code Warrior 플랫폼을 활용했습니다.이 취약점을 해결하는 방법과 기타 위협의 도적 갤러리를 자세히 알아보려면 다음 사이트를 방문하십시오. 시큐어 코드 워리어 블로그.
한 걸음 더 나아가 시큐어 코드 워리어 플랫폼의 인증 취약점에 정면으로 맞서세요. [여기서 시작]
이 블로그에서는 웹 사이트를 운영하거나 직원들이 컴퓨터 리소스에 원격으로 액세스할 수 있도록 허용하는 조직 (거의 모든 사람) 이 직면하는 가장 일반적인 문제 중 하나를 다룰 것입니다.네, 아마 이번 글에서 인증에 대해 이야기할 것이라고 짐작하셨을 것입니다.
해커가 유효한 사용자 이름과 암호를 사용하여 관리자로 시스템에 로그인하기만 하면 네트워크 방어를 위한 고급 기술을 배포할 필요가 없습니다.시스템은 단순히 문을 열고 공격자가 안으로 들어갈 수 있게 합니다.설상가상으로 공격자가 너무 엉뚱한 행동을 하지 않으면 공격자의 존재를 탐지하는 것이 거의 불가능합니다. 대부분의 방어 체계에서는 공격자가 자신의 업무를 수행하는 유효한 사용자나 관리자로 인식하기 때문입니다.
인증 취약성의 범주는 상당히 크지만, 사용자 로그인 프로세스에 실수로 영향을 받기 쉬운 가장 일반적인 문제를 살펴보겠습니다.이러한 허점을 보완하면 조직에서 발생하는 인증 문제의 대부분을 제거할 수 있습니다.
이 에피소드에서는 다음을 배우게 됩니다.
- 몇 가지 일반적인 인증 취약점이 악용되는 방법
- 왜 그렇게 위험한가요?
- 인증 취약점을 제거하는 데 사용할 수 있는 정책과 기술은 무엇입니까?
공격자는 인증 취약점을 어떻게 악용합니까?
인증 시스템에 침투할 수 있는 인증 취약점이 상당히 많기 때문에 해커들은 각 취약점을 약간씩 다르게 악용합니다.먼저 가장 일반적인 취약점을 살펴보고 그 중 몇 가지가 어떻게 악용될 수 있는지 보여주는 예를 들어 보겠습니다.
가장 일반적인 인증 취약점은 다음과 같습니다.
- 암호 정책이 약하거나 부적절한 경우
- 무제한 로그인 시도 허용,
- 로그인 실패 시 공격자에게 정보 제공
- 안전하지 않은 채널을 통한 자격 증명 전송
- 암호 해싱이 약합니다.
- 그리고 암호 복구 프로세스가 안전하지 않습니다.
암호 정책이 취약하다는 것이 가장 일반적인 취약점일 수 있습니다.사용자가 제한 없이 암호를 만들 수 있게 허용하면 추측 가능한 암호를 사용하는 사용자가 너무 많습니다.매년 여러 컴퓨터 뉴스에서는 가장 많이 사용되는 암호 목록을 발표하는데, “123456"과 “password”는 항상 상위 5위 안에 들었습니다.다른 것들도 있습니다.관리자는 “God”를 꽤 많이 사용하는 것을 좋아합니다.사실, 모두 유머러스하거나 기억하기 쉬울 뿐만 아니라 추측하기도 매우 쉽습니다.해커는 가장 일반적인 암호가 무엇인지 알고 있으며 시스템 침해를 시도할 때 가장 먼저 시도합니다.조직에서 이러한 종류의 암호를 허용하면 결국에는 보안 침해를 당할 수 있습니다.
덜 분명하지만 여전히 위험한 취약점은 로그인 실패와 관련된 정보를 사용자에게 다시 제공하는 것입니다.이는 좋지 않습니다. 사용자 이름이 존재하지 않을 때 하나의 메시지를 반환하고 사용자 이름은 존재하지만 암호가 잘못된 경우 다른 메시지를 반환하면 공격자가 시스템에서 유효한 사용자를 찾아내어 해당 사용자 이름에 대한 암호를 추측하는 데 집중할 수 있기 때문입니다.여기에 무제한 암호 추측을 허용하는 인증 취약점이 결합되면 공격자는 찾은 유효한 사용자에 대해 사전 공격을 실행할 수 있으며, 암호를 쉽게 추측할 수 있는 경우 상당히 빠르게 시스템에 침입할 수 있습니다.
인증 취약점이 왜 그렇게 위험한가요?
미국 구서부 (American Old West) 에는 편집증적인 농가가 현관문에 세 개의 자물쇠를 설치하고 창문에 올라가 손이 쉽게 닿을 수 있는 곳에서 총을 많이 들고 잠을 잤다는 이야기가 전해집니다.아침에 그는 죽은 채로 발견되었어요.뒷문을 잠그는 걸 잊었기 때문에 공격자들이 그를 잡았어요인증 취약점은 이와 매우 비슷합니다.공격자가 유효한 사용자 이름과 암호를 사용하여 네트워크에 침입할 수 있는지, 어떤 종류의 모니터링 도구나 사전 제어 기능을 갖추고 있는지, 얼마나 많은 전문 분석가를 고용하는지는 중요하지 않습니다.
일단 안으로 들어가면 공격자가 할 수 있는 일에 대한 제한이 거의 없습니다.공격자가 관리자 계정을 침해한 경우 상당히 광범위할 수 있는 사용자 권한 내에서 행동하는 한, 심각한 문제를 미연에 방지할 가능성은 거의 없습니다.따라서 인증 등급의 취약성은 모든 시스템에서 발생할 수 있는 가장 위험한 취약점 중 하나입니다.
인증 취약성 제거
네트워크에서 인증 취약점을 제거하는 가장 좋은 방법 중 하나는 전 세계적으로 적용되는 적절한 암호 정책을 마련하는 것입니다.사용자, 심지어 관리자도 “암호”와 같은 암호를 사용하지 못하도록 제한해야 할 뿐만 아니라 공격자가 사전이나 일반적인 문구 유형의 공격을 적용할 수 없도록 복잡성을 추가하도록 강요해야 합니다.보호되는 시스템의 중요도에 따라 암호 생성에 대한 자체 규칙을 마련할 수 있습니다.이렇게 하면 공격자가 암호를 추측하거나 무차별 대입하기가 훨씬 더 어려워집니다.
또한 잘못된 암호를 세 번 이상 입력하면 사용자가 잠기도록 로그인 실패 횟수를 제한해야 합니다.잠금은 일시적일 수 있습니다. 단 몇 분만 지연되어도 자동 딕셔너리 공격이 계속되는 것을 막을 수 있기 때문입니다.또는 관리자가 계정을 잠금 해제하지 않는 한 영구적일 수도 있습니다.어떤 경우든 이러한 잠금이 발생할 때마다 보안 담당자에게 알려 상황을 모니터링할 수 있도록 해야 합니다.
공격자가 정보를 수집하지 못하도록 방지하는 또 다른 좋은 방법은 잘못된 사용자 이름이나 암호를 입력할 때마다 일반적인 메시지를 작성하는 것입니다.사용자가 존재하지 않거나 잘못된 암호를 사용하여 거부되었는지 해커가 알 수 없도록 두 경우 모두 동일해야 합니다.
인증 취약성은 대부분의 시스템에서 가장 흔하고 위험합니다.하지만 발견하고 제거하기도 매우 쉽습니다.
인증 취약성에 대한 추가 정보
자세한 내용은 OWASP를 참조하십시오. 인증 치트 시트.또한 다음과 같이 새로 발견한 방어 지식을 테스트할 수 있습니다. 무료 데모 사이버 보안 팀이 궁극의 사이버 전사가 될 수 있도록 교육하는 Secure Code Warrior 플랫폼을 활용했습니다.이 취약점을 해결하는 방법과 기타 위협의 도적 갤러리를 자세히 알아보려면 다음 사이트를 방문하십시오. 시큐어 코드 워리어 블로그.
한 걸음 더 나아가 시큐어 코드 워리어 플랫폼의 인증 취약점에 정면으로 맞서세요. [여기서 시작]
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Consulter le rapportVeuillez prendre rendez-vous pour une démonstration.
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
이 블로그에서는 웹 사이트를 운영하거나 직원들이 컴퓨터 리소스에 원격으로 액세스할 수 있도록 허용하는 조직 (거의 모든 사람) 이 직면하는 가장 일반적인 문제 중 하나를 다룰 것입니다.네, 아마 이번 글에서 인증에 대해 이야기할 것이라고 짐작하셨을 것입니다.
해커가 유효한 사용자 이름과 암호를 사용하여 관리자로 시스템에 로그인하기만 하면 네트워크 방어를 위한 고급 기술을 배포할 필요가 없습니다.시스템은 단순히 문을 열고 공격자가 안으로 들어갈 수 있게 합니다.설상가상으로 공격자가 너무 엉뚱한 행동을 하지 않으면 공격자의 존재를 탐지하는 것이 거의 불가능합니다. 대부분의 방어 체계에서는 공격자가 자신의 업무를 수행하는 유효한 사용자나 관리자로 인식하기 때문입니다.
인증 취약성의 범주는 상당히 크지만, 사용자 로그인 프로세스에 실수로 영향을 받기 쉬운 가장 일반적인 문제를 살펴보겠습니다.이러한 허점을 보완하면 조직에서 발생하는 인증 문제의 대부분을 제거할 수 있습니다.
이 에피소드에서는 다음을 배우게 됩니다.
- 몇 가지 일반적인 인증 취약점이 악용되는 방법
- 왜 그렇게 위험한가요?
- 인증 취약점을 제거하는 데 사용할 수 있는 정책과 기술은 무엇입니까?
공격자는 인증 취약점을 어떻게 악용합니까?
인증 시스템에 침투할 수 있는 인증 취약점이 상당히 많기 때문에 해커들은 각 취약점을 약간씩 다르게 악용합니다.먼저 가장 일반적인 취약점을 살펴보고 그 중 몇 가지가 어떻게 악용될 수 있는지 보여주는 예를 들어 보겠습니다.
가장 일반적인 인증 취약점은 다음과 같습니다.
- 암호 정책이 약하거나 부적절한 경우
- 무제한 로그인 시도 허용,
- 로그인 실패 시 공격자에게 정보 제공
- 안전하지 않은 채널을 통한 자격 증명 전송
- 암호 해싱이 약합니다.
- 그리고 암호 복구 프로세스가 안전하지 않습니다.
암호 정책이 취약하다는 것이 가장 일반적인 취약점일 수 있습니다.사용자가 제한 없이 암호를 만들 수 있게 허용하면 추측 가능한 암호를 사용하는 사용자가 너무 많습니다.매년 여러 컴퓨터 뉴스에서는 가장 많이 사용되는 암호 목록을 발표하는데, “123456"과 “password”는 항상 상위 5위 안에 들었습니다.다른 것들도 있습니다.관리자는 “God”를 꽤 많이 사용하는 것을 좋아합니다.사실, 모두 유머러스하거나 기억하기 쉬울 뿐만 아니라 추측하기도 매우 쉽습니다.해커는 가장 일반적인 암호가 무엇인지 알고 있으며 시스템 침해를 시도할 때 가장 먼저 시도합니다.조직에서 이러한 종류의 암호를 허용하면 결국에는 보안 침해를 당할 수 있습니다.
덜 분명하지만 여전히 위험한 취약점은 로그인 실패와 관련된 정보를 사용자에게 다시 제공하는 것입니다.이는 좋지 않습니다. 사용자 이름이 존재하지 않을 때 하나의 메시지를 반환하고 사용자 이름은 존재하지만 암호가 잘못된 경우 다른 메시지를 반환하면 공격자가 시스템에서 유효한 사용자를 찾아내어 해당 사용자 이름에 대한 암호를 추측하는 데 집중할 수 있기 때문입니다.여기에 무제한 암호 추측을 허용하는 인증 취약점이 결합되면 공격자는 찾은 유효한 사용자에 대해 사전 공격을 실행할 수 있으며, 암호를 쉽게 추측할 수 있는 경우 상당히 빠르게 시스템에 침입할 수 있습니다.
인증 취약점이 왜 그렇게 위험한가요?
미국 구서부 (American Old West) 에는 편집증적인 농가가 현관문에 세 개의 자물쇠를 설치하고 창문에 올라가 손이 쉽게 닿을 수 있는 곳에서 총을 많이 들고 잠을 잤다는 이야기가 전해집니다.아침에 그는 죽은 채로 발견되었어요.뒷문을 잠그는 걸 잊었기 때문에 공격자들이 그를 잡았어요인증 취약점은 이와 매우 비슷합니다.공격자가 유효한 사용자 이름과 암호를 사용하여 네트워크에 침입할 수 있는지, 어떤 종류의 모니터링 도구나 사전 제어 기능을 갖추고 있는지, 얼마나 많은 전문 분석가를 고용하는지는 중요하지 않습니다.
일단 안으로 들어가면 공격자가 할 수 있는 일에 대한 제한이 거의 없습니다.공격자가 관리자 계정을 침해한 경우 상당히 광범위할 수 있는 사용자 권한 내에서 행동하는 한, 심각한 문제를 미연에 방지할 가능성은 거의 없습니다.따라서 인증 등급의 취약성은 모든 시스템에서 발생할 수 있는 가장 위험한 취약점 중 하나입니다.
인증 취약성 제거
네트워크에서 인증 취약점을 제거하는 가장 좋은 방법 중 하나는 전 세계적으로 적용되는 적절한 암호 정책을 마련하는 것입니다.사용자, 심지어 관리자도 “암호”와 같은 암호를 사용하지 못하도록 제한해야 할 뿐만 아니라 공격자가 사전이나 일반적인 문구 유형의 공격을 적용할 수 없도록 복잡성을 추가하도록 강요해야 합니다.보호되는 시스템의 중요도에 따라 암호 생성에 대한 자체 규칙을 마련할 수 있습니다.이렇게 하면 공격자가 암호를 추측하거나 무차별 대입하기가 훨씬 더 어려워집니다.
또한 잘못된 암호를 세 번 이상 입력하면 사용자가 잠기도록 로그인 실패 횟수를 제한해야 합니다.잠금은 일시적일 수 있습니다. 단 몇 분만 지연되어도 자동 딕셔너리 공격이 계속되는 것을 막을 수 있기 때문입니다.또는 관리자가 계정을 잠금 해제하지 않는 한 영구적일 수도 있습니다.어떤 경우든 이러한 잠금이 발생할 때마다 보안 담당자에게 알려 상황을 모니터링할 수 있도록 해야 합니다.
공격자가 정보를 수집하지 못하도록 방지하는 또 다른 좋은 방법은 잘못된 사용자 이름이나 암호를 입력할 때마다 일반적인 메시지를 작성하는 것입니다.사용자가 존재하지 않거나 잘못된 암호를 사용하여 거부되었는지 해커가 알 수 없도록 두 경우 모두 동일해야 합니다.
인증 취약성은 대부분의 시스템에서 가장 흔하고 위험합니다.하지만 발견하고 제거하기도 매우 쉽습니다.
인증 취약성에 대한 추가 정보
자세한 내용은 OWASP를 참조하십시오. 인증 치트 시트.또한 다음과 같이 새로 발견한 방어 지식을 테스트할 수 있습니다. 무료 데모 사이버 보안 팀이 궁극의 사이버 전사가 될 수 있도록 교육하는 Secure Code Warrior 플랫폼을 활용했습니다.이 취약점을 해결하는 방법과 기타 위협의 도적 갤러리를 자세히 알아보려면 다음 사이트를 방문하십시오. 시큐어 코드 워리어 블로그.
한 걸음 더 나아가 시큐어 코드 워리어 플랫폼의 인증 취약점에 정면으로 맞서세요. [여기서 시작]
Table des matières
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez prendre rendez-vous pour une démonstration.TéléchargerRessources utiles pour débuter
Thèmes et contenus de la formation sur les codes de sécurité
Le contenu le plus pertinent du secteur évolue constamment pour s'adapter à l'environnement de développement logiciel en constante évolution, en tenant compte du rôle des clients. Des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité, tous les rôles sont couverts, de l'IA à l'injection XQuery. Veuillez consulter le catalogue de contenu pour découvrir ce qui est proposé par thème et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources utiles pour débuter
Cybermon est de retour : la mission IA de défaite du boss est désormais disponible à la demande.
Cybermon 2025 Bit The Boss est désormais disponible toute l'année sur SCW. Renforcez le développement de l'IA de sécurité à grande échelle en déployant des défis de sécurité IA/LLM avancés.
Explication de la loi sur la cyber-résilience : l'importance de la conception sécurisée dans le développement de logiciels
Découvrez les exigences de la loi européenne sur la résilience des réseaux et des services (CRA), son champ d'application et comment votre équipe d'ingénieurs peut se préparer en toute sécurité grâce à la conception, aux pratiques, à la prévention des vulnérabilités et à la mise en place d'un environnement de développement.
Facteur de réussite n° 1 : des critères de réussite clairement définis et mesurables
Enabler 1 présente une série de dix articles consacrés aux facteurs de réussite, en démontrant comment le codage sécurisé peut améliorer les performances commerciales, notamment en accélérant la réduction des risques et des coûts pour la maturité des programmes à long terme.
