[주요정보통신기반시설] 13. 불충분한 인증

해당 취약점은 중요페이지(정보수정 및 패스워드 수정과 같은 페이지)에 대해서 2차적인 인증을 요구하는지 기본적으로 확인해봅니다. 

저는 해당 취약점을 점검할 때 로그인 이후에 비밀번호 변경을 접속했을 때 2차적인 인증을 요구하지 않으면 취약으로 판단하고 있습니다. 물론 이것 외에도 인증값을 파라미터로 계속 가지고 있어서 이를 수정하면 다른 아이디로 접속이 가능하다면 이도 취약하다고 판단할 수 있습니다.

1. 중요 기능에 대한 2차 인증

2. 혹은 계정을 조작했을 때 다른 아이디에 대한 인증

3. 2차 인증에서 비밀번호를 틀렸을 때 응답을 fail에서 success로 조작(다른 패턴들이 있을 수 있습니다)

이러한 방법을 통해서 점검에 이용합니다.

 

아래는 주요정보통신기반시설 취약점 진단가이드의 내용입니다.

이상입니다~