안녕하세요 실제로 진단 도중 나왔던 재밌는 취약점에대해서 설명하려다가 먼저 쓰게된 약한 문자열 강도 취약점입니다.
가끔 ID: aaaa PW:aaaa나 test test 등등 쉬운 패턴으로 접속이 가능한 사이트 들이 존재합니다.
또한 계정 생성시에 패스워드 패턴이 너무 약한 경우 이런 취약점이 발생할 수 있습니다. 이건 경험적으로 여러 패턴이 있습니다.
이 부분에서 많이 고민되는 부분은 JS단에서는 해당 문자열을 제한하고 있는데
임의의 문자열 입력 후 프록시를 통해서 약한 문자열을 통한 비밀번호 설정이 가능하다면 취약으로 잡을 수 있는가 입니다.
'Penetration > WEB' 카테고리의 다른 글
[주요정보통신기반시설] 7. XPath 인젝션 (0) | 2023.09.21 |
---|---|
[주요정보통신기반시설] 6. SSI 인젝션 (0) | 2023.09.21 |
[주요정보통신기반시설] 5. SQL 인젝션 - 이론편 (0) | 2023.09.18 |
[주요정보통신기반시설] 4. 운영체제 명령 실행 - 이론편 (0) | 2023.09.06 |
[주요정보통신기반시설] 3. LDAP 인젝션 - 이론편 (2) | 2023.09.03 |