[보안 공부] 16주 차 - 인증, 인가 취약점

※ 주의 : 보안 관련 학습은 자유이지만, 학습 내용을 사용한 경우 법적 책임은 행위자에게 있습니다.
(Note: Security-related learning is allowed, but the individual is solely responsible for any legal consequences arising from the use of the acquired knowledge.)

※ 공부 기록용 포스트이며, 검수를 하고 올리지만 간혹 잘 못된 정보가 있을 수도 있습니다.

[보안 공부] 16주 차 - 인증, 인가 취약점

PC 화면에서 보시기 적합하도록 작성되었습니다.

---

인증, 인가 취약점

인증과 인가에 대한 간략한 도표

 

인증(Authentication) : 그 사람이 맞는지 확인

인가(Authorization) : 권한을 부여

 

일반적으로, 인증이 되면 권한이 부여되기 때문에, 인증에서 뚫리면 인가도 같이 뚫리는 경우가 많다.

타인의 게시글을 수정, 삭제 할 수 있는 '권한'에 대한 인가 취약점도, 게시글을 수정, 삭제할 수 있는 권한을 가진 사람이 맞는지 인증이 제대로 되지 않아서이다.

인증과 인가는 다른 개념이지만, 바라본 관점에서 인증 취약점인지 인가 취약점인지 모호할 수 있기 때문에, 인증인지 인가인지를 나누는 것 보다, 취약점을 찾는 것이 중요하다.
로직상 결함을 찾으면 되는 부분이라 앞서 배운것들에 비하면 어렵지 않다.

 

1.인증 기술 

• HTML 폼 기반 사용자 인
• 비밀번호와 물리적인 토큰(OTP 등)을 결합한 다중 요인 인증 기법 (ex투팩터 인증)
• SSL 인증서와 스마트카드
• HTTP 기본이나 해시 인증
• NTLM이나 커버로스를 이용한 윈도우 통합 인증
• 사용자 인증 서비스

2. 인증에서 취약점

• 짧은 비밀번호
• 시도 횟수 제한 없음 (무차별 대입 공격 가능)
• 불필요하게 상세한 에러 메시지
• HTTP 사용 (비 암호화)
• 비밀번호 변경 기능 (세션이 탈취된 경우, 현재 비밀번호를 입력하도록 설계해야 안전)
• 비밀번호 복구 기능
• 내 정보 기억하기 기능
• 추측 가능한 초기 비밀번호

3. 모의해킹 실무에서 바라본 인증, 인가 취약점

• Client측에서 이루어지는 인증 (사용자의 Cookie를 믿는 경우 , 인증에서 Script 사용)
  ☞ Cookie에 ID가 있고, 이 것을 믿는 경우 Cookie를 변조하면 된다. Script도 변경이 가능한 것은 마찬가지.
  설마 이렇게 개발을 할까?라는 의문이 들지만, 실제로 그런 경우가 꽤 있다고 한다.
• Process 점프
  ☞ 절차의 흐름이 [본인 인증 → 회원가입 → 로그인 → 글 쓰기]인 경우, 본인 인증에 취약점으로 인증을 하지 않아도 회원가입이 가능한 경우가 있다.
• Parameter 변조
  ☞ URL 파라미터에 숫자 규칙이 있다면 다른 숫자를 넣어볼 수도 있다.
  웹 해킹에서는 방어가 잘 되어있지만 모바일 앱에서는 심심치 않게 나타는 취약점.
• 인증 횟수 제한 없는 경우
  ☞ 서버에 인증 횟수제한이 없으면 무차별 대입공격에 취약하다.
  이스라엘 기업에서 아이폰을 해킹할 수 있었던 이유는, 메모리를 덤프하여 인증 횟수 제한을 무력화 했기 때문이다.
• 추측 가능한 비공개 정보 (Guessing Attack)
  ☞ 게시판_read.php 일때, 작성 페이지는 게시판_write.php로 추측해 볼 수 있다.

참고문헌 출처

 

1. (개정판) 웹 해킹&보안 완벽 가이드 / 지은이 : 데피드 스터타드, 마커스 핀토/ 옮긴이 : 김경곤, 자은경, 이현정 / 출판사 : 에이콘 / 발행 : 2014년 8월 29일 / 6장 인증 무력화

http://acornpub.co.kr/book/webhacker-2e

(개정판) 웹 해킹 & 보안 완벽 가이드