O 특정 프로세스(로그인 등)에 대한 접근 시도 횟수 제한을 설정하지 않고 자동화 공격이 방치될 경우 무차별 대입 공격으로 인한 사용자 계정 탈취 등이 발생할 수 있는 취약점
O 근거 자료
☞ 주요정보통신기반시설 기술적 취약점 분석 평가 상세 가이드(p.702)
☞ OWASP TOP10 2021
O 판단 기준
| 양호 | 웹 어플리케이션의 로그인 기능 사용 시 로그인 무차별 입력 시도에 대한 통제가 이루어지는 경우 |
| 취약 | 웹 어플리케이션의 로그인 기능 사용 시 로그인 횟수 제한이 없어 무차별 입력이 가능한 경우 |
O 점검 방법
- 입력 값이 필요한 특정 프로세스에서 입력 값에 대해 무차별 대입
: 하나의 입력 필드 값 고정 후 다른 필드 값에 대해 무차별 대입
: 여러 개의 입력 필드 값에 대해 매 시도 마다 서로 다른 입력 값 무차별 대입
O 조치 방법
- 데이터 등록 및 메일 발송 기능에서 사용자 등록이 일회성이 될 수 있도록 캡차* 등을 통해 일회성 확인 로직 구현
- 자동화 공격의 경우 짧은 시간에 다량의 패킷이 전송되므로 로그인 실패 횟수를 제한하는 등의 입력 횟수 제한
- 일정 횟수 이상 로그인 시도 시 계정 잠금
* 캡차(CAPTCHA) : 자동화된 컴퓨터와 사람을 판별하기 위한 기술의 일종
O 특정 프로세스(로그인 등)에 대한 접근 시도 횟수 제한을 설정하지 않고 자동화 공격이 방치될 경우 무차별 대입 공격으로 인한 사용자 계정 탈취 등이 발생할 수 있는 취약점
O 근거 자료
☞ 주요정보통신기반시설 기술적 취약점 분석 평가 상세 가이드(p.702)
☞ OWASP TOP10 2021
O 판단 기준
O 점검 방법
- 입력 값이 필요한 특정 프로세스에서 입력 값에 대해 무차별 대입
: 하나의 입력 필드 값 고정 후 다른 필드 값에 대해 무차별 대입
: 여러 개의 입력 필드 값에 대해 매 시도 마다 서로 다른 입력 값 무차별 대입
O 조치 방법
- 데이터 등록 및 메일 발송 기능에서 사용자 등록이 일회성이 될 수 있도록 캡차* 등을 통해 일회성 확인 로직 구현
- 자동화 공격의 경우 짧은 시간에 다량의 패킷이 전송되므로 로그인 실패 횟수를 제한하는 등의 입력 횟수 제한
- 일정 횟수 이상 로그인 시도 시 계정 잠금
* 캡차(CAPTCHA) : 자동화된 컴퓨터와 사람을 판별하기 위한 기술의 일종