비디오: Week 9 2024
많은 웹 사이트는 사용자가 응용 프로그램으로 무엇인가를하기 전에 로그인해야합니다. 놀랍게도, 이들은 해커에게 큰 도움이 될 수 있습니다. 이러한 로그인 메커니즘은 종종 올바르지 않은 사용자 ID 또는 비밀번호를 정상적으로 처리하지 못합니다. 공격자가 유효한 사용자 ID와 암호를 수집하는 데 사용할 수있는 정보를 너무 많이 누설하는 경우가 있습니다.
보안되지 않은 로그인 메커니즘을 테스트하려면 응용 프로그램을 탐색하고
-
유효하지 않은 사용자 ID와 유효한 암호 사용
-
이 정보를 입력 한 후, 웹 응용 프로그램은 사용자 ID가 유효하지 않거나 암호가 유효하지 않은 것과 유사한 메시지로 응답 할 것입니다. 웹 응용 프로그램은 사용자 ID와 암호 조합이 유효하지 않은 것과 같은 일반 오류 메시지를 반환 할 수 있으며 동시에 잘못된 사용자 ID와 잘못된 암호에 대해 URL에 다른 오류 코드를 반환합니다.
-
이것은 악의적 인 공격자가 좋은 사용자 이름 또는 암호를 알고 있음을 의미합니다. 작업 부하가 절반으로 줄었습니다! 그들이 사용자 이름을 알고 있다면 암호 크래킹 프로세스를 자동화하는 스크립트를 작성할 수 있으며 그 반대의 경우도 마찬가지입니다.
또한 Brutus와 같은 웹 로그인 크래킹 도구를 사용하여 로그인 테스트를 다음 단계로 수행해야합니다. Brutus는 사전 및 무차별 대입 공격을 모두 사용하여 HTTP 및 양식 기반 인증 메커니즘을 해독하는 데 사용할 수있는 매우 간단한 도구입니다. 모든 유형의 비밀번호 테스트와 마찬가지로 길고 힘든 작업이 될 수 있으며 사용자 계정을 잠글 수 있습니다. 조심해서 진행해라. 웹 비밀번호를 크랙하기위한 대안으로 더 잘 유지 관리되는 도구는 THC-Hydra입니다.
대부분의 상업용 웹 취약점 스캐너는 적절한 사전 기반 웹 패스워드 크래커를 가지고 있지만 Brutus can처럼 진정한 brute-force 테스트를 수행 할 수있는 스캐너는 없습니다. 비밀번호 찾기 성공은 사전 목록에 크게 좌우됩니다. 다음은 사전 파일 및 기타 기타 단어 목록이있는 인기있는 사이트입니다:
ftp: // ftp. 세리아. 퍼듀. edu / pub / dict
http: // packetstormsecurity. org / 크래커 / 단어 목록
www. 전초 기지 9. co.kr / files / WordLists. html
스토리지 관리 시스템 및 IP 비디오 및 물리적 액세스 제어 시스템과 같은 많은 프런트 엔드 웹 시스템에는 단순히 암호가 들어 있기 때문에 암호 해독 도구가 필요하지 않을 수 있습니다.이러한 기본 암호는 대개 "암호", "admin"또는 아무것도 없습니다. 일부 암호는 로그인 페이지의 소스 코드에 포함됩니다.
-
웹 응용 프로그램에서 사람들이 약한 로그인 시스템을 공격하는 것을 방지하기 위해 다음과 같은 대책을 구현할 수 있습니다.
-
최종 사용자에게 반환되는 모든 로그인 오류는 가능한 한 일반적이어야하며 사용자 ID 및 비밀번호 조합이 잘못되었습니다.
-
애플리케이션은 잘못된 사용자 ID와 잘못된 비밀번호를 구별하는 URL에 오류 코드를 반환해서는 안됩니다.
URL 메시지를 반환해야하는 경우 응용 프로그램은 최대한 일반 메시지로 유지해야합니다. 다음은 그 예입니다:
www. your_web_app. co.kr / login. CGI? success = false
-
이 URL 메시지는 사용자에게 편리하지는 않지만 공격자의 메커니즘 및 숨겨진 액션을 숨기는 데 도움이됩니다.
-
비밀번호 재검사 시도를 방지하려면 CAPTCHA (또는 reCAPTCHA) 또는 웹 로그인 양식을 사용하십시오.
로그인 시도 횟수가 10-15 회 실패한 후 웹 서버 또는 웹 응용 프로그램에서 침입자 잠금 메커니즘을 사용하여 사용자 계정을 잠급니다. 이 작업은 세션 추적 또는 타사 웹 응용 프로그램 방화벽 추가 기능을 통해 처리 할 수 있습니다.
벤더 기본 비밀번호를 확인하고 변경하기는 쉽지만 아직 까다로운 항목으로 변경하십시오.
