11. 자동화 공격

O 특정 프로세스(로그인 등)에 대한 접근 시도 횟수 제한을 설정하지 않고 자동화 공격이 방치될 경우 무차별 대입 공격으로 인한 사용자 계정 탈취 등이 발생할 수 있는 취약점


O 근거 자료

주요정보통신기반시설 기술적 취약점 분석 평가 상세 가이드(p.702)

OWASP TOP10 2021


O 판단 기준

양호웹 어플리케이션의 로그인 기능 사용 시 로그인 무차별 입력 시도에 대한 통제가 이루어지는 경우
취약웹 어플리케이션의 로그인 기능 사용 시 로그인 횟수 제한이 없어 무차별 입력이 가능한 경우


O 점검 방법

- 입력 값이 필요한 특정 프로세스에서 입력 값에 대해 무차별 대입

: 하나의 입력 필드 값 고정 후 다른 필드 값에 대해 무차별 대입

: 여러 개의 입력 필드 값에 대해 매 시도 마다 서로 다른 입력 값 무차별 대입


O 조치 방법

- 데이터 등록 및 메일 발송 기능에서 사용자 등록이 일회성이 될 수 있도록 캡차* 등을 통해 일회성 확인 로직 구현

- 자동화 공격의 경우 짧은 시간에 다량의 패킷이 전송되므로 로그인 실패 횟수를 제한하는 등의 입력 횟수 제한

- 일정 횟수 이상 로그인 시도 시 계정 잠금

* 캡차(CAPTCHA) : 자동화된 컴퓨터와 사람을 판별하기 위한 기술의 일종