반응형
가. 취약점 개요
로그인 시도에 대한 횟수를 검사하지 않으면 로그인 시도 횟수와 상관없이 지속적으로 로그인 시도가 이루어지는 비밀번호 무차별 대입 공격이 시도되어 계정정보가 노출될 수 있다.
나. 설계시 고려사항
① 로그인 기능 구현 시, 인증시도 횟수를 제한하고, 초과된 인증시도에 대해 인증제한 정책을 적용해야 한다.
로그인 시도횟수를 3~5번 이내로 제한하고 이를 초과하여 로그인에 실패하는 경우 추가 입력값을 요구하거나 계정 잠금을 수행하도록 다음과 같은 메커니즘으로 설계한다.
계정정보 입력 시 자동입력방지 문자와 같은 장치를 마련하도록 설계한다. 보안문자 이미지 생성 및 입력값과 보안문자를 비교하기 위해 다음과 같은 서비스나 솔루션의 사용을 고려할 수 있다.
[테스트 문제]
문제: 보안대책을 서술하시오.
정답:
① 인증시도 횟수 제한
② 인증시도 실패 로깅
문제: 빈칸을 채우시오.
계정정보 입력 시 (ㄱ) 문자와 같은 장치를 마련하도록 설계한다. (ㄴ)이미지 생성 및 입력값과 (ㄴ) 를 비교하기 위해 다음과 같은 서비스나 솔루션의 사용을 고려할 수 있다.
ㄱ: 자동입력방지
ㄴ: 보안문자
반응형
