사용자 계정 목록화 : 시스템의 어떠한 인증 체계에 취약점이 존재하여 공격자가 시스템에 존재하는 사용자 계정 목록을획득할 수 있는 취약점
공격자가 무차별 대입 공격 시도 시 로그인을 하지 않더라도 시스템에 존재하는 계정들을 파악할 수 있음
- 입력한 사용자 계정이 존재하지 않습니다. -> 로그인 에러 메시지 분석 가능
- 잘못된 암호를 입력했습니다. -> 비밀번호 복구 시 오류 메시지 분석, 회원 가입 시 오류 메시지 분석 가능
사용자 계정 목록화를 통해 유효한 사용자 계정에 대한 정보를 수집한다면 수집된 데이터를 통해 공격 수행 가능
취약점 진단 과정
- 진단을 하기 위해서는 로그인 관련 메시지를 분석해야 함
- 첫 번째 시도 : 존재하지 않는 아이디와 비밀번호를 입력한 경우
- 사용자 계정의 존재 유무를 알려줌
- 두 번째 시도 : 시스템에 존재하는 아이디의 비밀번호를 잘못 입력한 경우
- 비밀번호가 틀렸다고 알려줌
- 세 번째 시도 : 문제 없이 로그인에 성공한 경우
- 성공했다고 반환메시지 보냄
취약점 대응 방안
- 공격자가 로그인 시도 시 에러 메시지를 통해 계정 정보를 유추할 수 없도록 메시지를 반환해야 함
- 무차별 대입 공격에서 비밀번호를 유추할 수 없게 하는 것이 중요
- 상세한 피드백은 제공하지 않는 것이 안전
- 캡차 사용
'정보보안 > 안드로이드해킹' 카테고리의 다른 글
| 안드로이드 모의해킹) 취약한 패스워드 변경 시도 (0) | 2020.12.03 |
|---|---|
| 안드로이드 모의해킹) 개발자 백도어 (0) | 2020.12.03 |
| 안드로이드 모의해킹) 하드코딩 보안 (0) | 2020.12.02 |
| 안드로이드 모의해킹) 인자 전달값 조작 (0) | 2020.12.02 |
| 안드로이드 모의해킹) 안전하지 않은 HTTP 통신 (0) | 2020.11.30 |
댓글