코더스 컨커 시큐리티 OWASP 탑 10 API 시리즈 - 깨진 인증
인증 실패로 인해 API 문제에 대한 OWASP 목록이 된 것은 놀라운 일이 아닙니다. 인증 메커니즘은 올바르게 구현하기가 매우 어렵기로 악명이 높습니다.또한 공격자는 그 특성상 대부분의 인증 문제를 사용자에게 노출시켜야 하기 때문에 공격자가 이를 연구하고 악용할 수 있는 패턴이나 취약점을 찾아낼 기회를 주기 때문에 약간의 이점이 있습니다.
마지막으로, 인증은 애플리케이션은 물론 잠재적으로 네트워크의 나머지 부분에 대한 게이트웨이 역할을 하는 경우가 많기 때문에 공격자의 공격 대상이 될 수 있습니다.인증 프로세스가 손상되거나 취약한 경우 공격자가 해당 취약점을 발견하고 악용할 가능성이 높습니다.
따라서 이 장에서는 인증 문제와 관련하여 악의적인 사용자를 차단하는 방법을 알아보겠습니다.먼저 실력을 테스트하고 싶다면 게임화된 챌린지를 플레이하세요.
점수를 높이고 싶으신가요?우리가 그걸 분석하는 동안 내 곁에 있어줘.
손상되거나 잘못 구성된 인증의 예로는 어떤 것이 있습니까?
인증 방법이 자격 증명 스터핑에 취약하거나 알려진 사용자 이름 및 암호 목록을 사용하여 보안을 침해하는 경우를 예로 들 수 있습니다.다단계 인증과 같이 일반적으로 매우 안전한 인증 방법이라도 요청이 제한되거나, 제한되거나, 모니터링되지 않으면 취약할 수 있습니다.
예를 들어 공격자는 /에 POST 요청을 보내 암호 복구 요청을 트리거할 수 있습니다.api/시스템/검증 코드 요청 본문에 사용자 이름을 제공합니다.앱에서 6자리 코드가 사용자의 휴대폰으로 전송되는 SMS 문자 메시지 챌린지를 사용하지만 입력 필드가 제한되지 않는 경우 몇 분 만에 애플리케이션을 분석할 수 있습니다.공격자는 올바른 숫자 조합에 도달할 때까지 가능한 모든 6자리 숫자 조합을 애플리케이션에 전송하기만 하면 됩니다.
이 시나리오에서는 표면적으로는 2단계 인증을 통해 애플리케이션을 안전하게 보호할 수 있는 것처럼 보입니다.하지만 사용자 입력이 속도 제한이 없기 때문에 인증이 제대로 이루어지지 않고 취약합니다.
또 다른 예로, 애플리케이션은 인코딩된 사용자 객체를 인증 쿠키로 사용할 수 있습니다.하지만 낮은 수준의 사용자 액세스 권한을 가진 공격자가 Base64를 사용하여 해당 쿠키를 디코딩하면 쿠키가 애플리케이션에 대한 세션과 사용자를 정의하는 방법을 발견할 수 있습니다.예를 들어 디코딩되면 다음과 같은 JSON이 표시될 수 있습니다.
{
“사용자 이름”: “ShadyGuy”,
“역할”: “사용자”
{
이때 악의적인 사용자는 사용자 이름, 역할 또는 둘 다를 변경할 수 있습니다.다음과 같은 몇 가지 값을 변경하여 더 높은 권한 수준을 가진 다른 사용자가 될 수 있습니다.
{
“아이디”: “굿가이”,
“역할”: “관리자”
{
이때 공격자가 정보를 다시 코딩하여 쿠키 값으로 설정하면 기본적으로 더 높은 권한 수준을 가진 새 사용자가 됩니다.이와 같은 변경을 방지할 수 있는 방법이 마련되어 있지 않으면 응용 프로그램이 변환을 받아들일 가능성이 높습니다.
손상되거나 잘못 구성된 인증 제거
인증에 실패하면 전반적인 보안이 침해될 가능성이 높습니다.하지만 애플리케이션을 코딩할 때 몇 가지 중요한 지침을 따르면 모든 것을 안전하게 유지하는 데 도움이 될 수 있습니다.
우선, 사용자가 프로그램 기능에 액세스할 수 있도록 모든 곳에 인증 검사를 포함해야 합니다.인증 검사가 전혀 없는 경우 전투는 처음부터 패배하게 됩니다.
모범 사례의 한 가지 좋은 점은 사용자가 액세스할 수 있는 URL에 세션 ID가 노출되지 않도록 하는 것입니다.인증 실패와 관련된 위의 두 번째 예에서는 세션 쿠키가 한 번도 노출되지 않았다면 공격자가 세션 쿠키의 디코딩을 시도하지 못하도록 하는 것이 훨씬 쉽습니다.
다단계 인증을 구현하는 것도 좋은 생각입니다.이는 촉박한 일정에 따라 알고리즘적으로 암호를 생성하는 하드웨어 토큰을 사용하여 안전하게 수행할 수 있습니다.사용자에게 이와 같은 기기를 제공할 수 없다면 SMS 문자 메시지도 효과가 있을 수 있습니다.하지만 사용자 요청은 30초 동안 세 번 또는 네 번 시도하는 것과 같이 합리적인 것으로 제한하고 코드가 모두 몇 분 후에 만료되도록 해야 합니다.영숫자 코드를 사용하면 잠재적 암호에 문자와 숫자를 추가하여 보안을 강화할 수도 있습니다.
마지막으로, 가능하면 사용자 이름이나 예측 가능한 순차적 값을 세션 ID로 사용하지 마십시오.대신 매번 임의의 세션 ID를 생성하는 안전한 서버측 세션 관리자를 사용하십시오.
보안 인증 방법을 구현하는 것은 일반적인 취약점을 해결하는 것보다 조금 더 까다롭습니다.하지만 권한 부여는 모든 애플리케이션, 프로그램 및 API에 매우 중요하므로 시간을 들여 제대로 되었는지 확인하는 것이 좋습니다.
확인해 보세요 시큐어 코드 워리어 이 취약성에 대한 자세한 정보와 다른 보안 결함으로 인한 피해로부터 조직과 고객을 보호하는 방법을 알아보려면 블로그 페이지를 참조하십시오.또한 다음과 같은 방법도 있습니다. 데모 사용해 보기 Secure Code Warrior 교육 플랫폼을 통해 모든 사이버 보안 기술을 연마하고 최신 상태로 유지할 수 있습니다.
인증은 애플리케이션은 물론 잠재적으로 네트워크의 나머지 부분에 대한 게이트웨이 역할을 하는 경우가 많기 때문에 공격자의 공격 대상이 됩니다.인증 프로세스가 손상되거나 취약한 경우 공격자가 해당 취약점을 발견하고 악용할 가능성이 높습니다.
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Demo-Termin vereinbaren
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
인증 실패로 인해 API 문제에 대한 OWASP 목록이 된 것은 놀라운 일이 아닙니다. 인증 메커니즘은 올바르게 구현하기가 매우 어렵기로 악명이 높습니다.또한 공격자는 그 특성상 대부분의 인증 문제를 사용자에게 노출시켜야 하기 때문에 공격자가 이를 연구하고 악용할 수 있는 패턴이나 취약점을 찾아낼 기회를 주기 때문에 약간의 이점이 있습니다.
마지막으로, 인증은 애플리케이션은 물론 잠재적으로 네트워크의 나머지 부분에 대한 게이트웨이 역할을 하는 경우가 많기 때문에 공격자의 공격 대상이 될 수 있습니다.인증 프로세스가 손상되거나 취약한 경우 공격자가 해당 취약점을 발견하고 악용할 가능성이 높습니다.
따라서 이 장에서는 인증 문제와 관련하여 악의적인 사용자를 차단하는 방법을 알아보겠습니다.먼저 실력을 테스트하고 싶다면 게임화된 챌린지를 플레이하세요.
점수를 높이고 싶으신가요?우리가 그걸 분석하는 동안 내 곁에 있어줘.
손상되거나 잘못 구성된 인증의 예로는 어떤 것이 있습니까?
인증 방법이 자격 증명 스터핑에 취약하거나 알려진 사용자 이름 및 암호 목록을 사용하여 보안을 침해하는 경우를 예로 들 수 있습니다.다단계 인증과 같이 일반적으로 매우 안전한 인증 방법이라도 요청이 제한되거나, 제한되거나, 모니터링되지 않으면 취약할 수 있습니다.
예를 들어 공격자는 /에 POST 요청을 보내 암호 복구 요청을 트리거할 수 있습니다.api/시스템/검증 코드 요청 본문에 사용자 이름을 제공합니다.앱에서 6자리 코드가 사용자의 휴대폰으로 전송되는 SMS 문자 메시지 챌린지를 사용하지만 입력 필드가 제한되지 않는 경우 몇 분 만에 애플리케이션을 분석할 수 있습니다.공격자는 올바른 숫자 조합에 도달할 때까지 가능한 모든 6자리 숫자 조합을 애플리케이션에 전송하기만 하면 됩니다.
이 시나리오에서는 표면적으로는 2단계 인증을 통해 애플리케이션을 안전하게 보호할 수 있는 것처럼 보입니다.하지만 사용자 입력이 속도 제한이 없기 때문에 인증이 제대로 이루어지지 않고 취약합니다.
또 다른 예로, 애플리케이션은 인코딩된 사용자 객체를 인증 쿠키로 사용할 수 있습니다.하지만 낮은 수준의 사용자 액세스 권한을 가진 공격자가 Base64를 사용하여 해당 쿠키를 디코딩하면 쿠키가 애플리케이션에 대한 세션과 사용자를 정의하는 방법을 발견할 수 있습니다.예를 들어 디코딩되면 다음과 같은 JSON이 표시될 수 있습니다.
{
“사용자 이름”: “ShadyGuy”,
“역할”: “사용자”
{
이때 악의적인 사용자는 사용자 이름, 역할 또는 둘 다를 변경할 수 있습니다.다음과 같은 몇 가지 값을 변경하여 더 높은 권한 수준을 가진 다른 사용자가 될 수 있습니다.
{
“아이디”: “굿가이”,
“역할”: “관리자”
{
이때 공격자가 정보를 다시 코딩하여 쿠키 값으로 설정하면 기본적으로 더 높은 권한 수준을 가진 새 사용자가 됩니다.이와 같은 변경을 방지할 수 있는 방법이 마련되어 있지 않으면 응용 프로그램이 변환을 받아들일 가능성이 높습니다.
손상되거나 잘못 구성된 인증 제거
인증에 실패하면 전반적인 보안이 침해될 가능성이 높습니다.하지만 애플리케이션을 코딩할 때 몇 가지 중요한 지침을 따르면 모든 것을 안전하게 유지하는 데 도움이 될 수 있습니다.
우선, 사용자가 프로그램 기능에 액세스할 수 있도록 모든 곳에 인증 검사를 포함해야 합니다.인증 검사가 전혀 없는 경우 전투는 처음부터 패배하게 됩니다.
모범 사례의 한 가지 좋은 점은 사용자가 액세스할 수 있는 URL에 세션 ID가 노출되지 않도록 하는 것입니다.인증 실패와 관련된 위의 두 번째 예에서는 세션 쿠키가 한 번도 노출되지 않았다면 공격자가 세션 쿠키의 디코딩을 시도하지 못하도록 하는 것이 훨씬 쉽습니다.
다단계 인증을 구현하는 것도 좋은 생각입니다.이는 촉박한 일정에 따라 알고리즘적으로 암호를 생성하는 하드웨어 토큰을 사용하여 안전하게 수행할 수 있습니다.사용자에게 이와 같은 기기를 제공할 수 없다면 SMS 문자 메시지도 효과가 있을 수 있습니다.하지만 사용자 요청은 30초 동안 세 번 또는 네 번 시도하는 것과 같이 합리적인 것으로 제한하고 코드가 모두 몇 분 후에 만료되도록 해야 합니다.영숫자 코드를 사용하면 잠재적 암호에 문자와 숫자를 추가하여 보안을 강화할 수도 있습니다.
마지막으로, 가능하면 사용자 이름이나 예측 가능한 순차적 값을 세션 ID로 사용하지 마십시오.대신 매번 임의의 세션 ID를 생성하는 안전한 서버측 세션 관리자를 사용하십시오.
보안 인증 방법을 구현하는 것은 일반적인 취약점을 해결하는 것보다 조금 더 까다롭습니다.하지만 권한 부여는 모든 애플리케이션, 프로그램 및 API에 매우 중요하므로 시간을 들여 제대로 되었는지 확인하는 것이 좋습니다.
확인해 보세요 시큐어 코드 워리어 이 취약성에 대한 자세한 정보와 다른 보안 결함으로 인한 피해로부터 조직과 고객을 보호하는 방법을 알아보려면 블로그 페이지를 참조하십시오.또한 다음과 같은 방법도 있습니다. 데모 사용해 보기 Secure Code Warrior 교육 플랫폼을 통해 모든 사이버 보안 기술을 연마하고 최신 상태로 유지할 수 있습니다.
인증 실패로 인해 API 문제에 대한 OWASP 목록이 된 것은 놀라운 일이 아닙니다. 인증 메커니즘은 올바르게 구현하기가 매우 어렵기로 악명이 높습니다.또한 공격자는 그 특성상 대부분의 인증 문제를 사용자에게 노출시켜야 하기 때문에 공격자가 이를 연구하고 악용할 수 있는 패턴이나 취약점을 찾아낼 기회를 주기 때문에 약간의 이점이 있습니다.
마지막으로, 인증은 애플리케이션은 물론 잠재적으로 네트워크의 나머지 부분에 대한 게이트웨이 역할을 하는 경우가 많기 때문에 공격자의 공격 대상이 될 수 있습니다.인증 프로세스가 손상되거나 취약한 경우 공격자가 해당 취약점을 발견하고 악용할 가능성이 높습니다.
따라서 이 장에서는 인증 문제와 관련하여 악의적인 사용자를 차단하는 방법을 알아보겠습니다.먼저 실력을 테스트하고 싶다면 게임화된 챌린지를 플레이하세요.
점수를 높이고 싶으신가요?우리가 그걸 분석하는 동안 내 곁에 있어줘.
손상되거나 잘못 구성된 인증의 예로는 어떤 것이 있습니까?
인증 방법이 자격 증명 스터핑에 취약하거나 알려진 사용자 이름 및 암호 목록을 사용하여 보안을 침해하는 경우를 예로 들 수 있습니다.다단계 인증과 같이 일반적으로 매우 안전한 인증 방법이라도 요청이 제한되거나, 제한되거나, 모니터링되지 않으면 취약할 수 있습니다.
예를 들어 공격자는 /에 POST 요청을 보내 암호 복구 요청을 트리거할 수 있습니다.api/시스템/검증 코드 요청 본문에 사용자 이름을 제공합니다.앱에서 6자리 코드가 사용자의 휴대폰으로 전송되는 SMS 문자 메시지 챌린지를 사용하지만 입력 필드가 제한되지 않는 경우 몇 분 만에 애플리케이션을 분석할 수 있습니다.공격자는 올바른 숫자 조합에 도달할 때까지 가능한 모든 6자리 숫자 조합을 애플리케이션에 전송하기만 하면 됩니다.
이 시나리오에서는 표면적으로는 2단계 인증을 통해 애플리케이션을 안전하게 보호할 수 있는 것처럼 보입니다.하지만 사용자 입력이 속도 제한이 없기 때문에 인증이 제대로 이루어지지 않고 취약합니다.
또 다른 예로, 애플리케이션은 인코딩된 사용자 객체를 인증 쿠키로 사용할 수 있습니다.하지만 낮은 수준의 사용자 액세스 권한을 가진 공격자가 Base64를 사용하여 해당 쿠키를 디코딩하면 쿠키가 애플리케이션에 대한 세션과 사용자를 정의하는 방법을 발견할 수 있습니다.예를 들어 디코딩되면 다음과 같은 JSON이 표시될 수 있습니다.
{
“사용자 이름”: “ShadyGuy”,
“역할”: “사용자”
{
이때 악의적인 사용자는 사용자 이름, 역할 또는 둘 다를 변경할 수 있습니다.다음과 같은 몇 가지 값을 변경하여 더 높은 권한 수준을 가진 다른 사용자가 될 수 있습니다.
{
“아이디”: “굿가이”,
“역할”: “관리자”
{
이때 공격자가 정보를 다시 코딩하여 쿠키 값으로 설정하면 기본적으로 더 높은 권한 수준을 가진 새 사용자가 됩니다.이와 같은 변경을 방지할 수 있는 방법이 마련되어 있지 않으면 응용 프로그램이 변환을 받아들일 가능성이 높습니다.
손상되거나 잘못 구성된 인증 제거
인증에 실패하면 전반적인 보안이 침해될 가능성이 높습니다.하지만 애플리케이션을 코딩할 때 몇 가지 중요한 지침을 따르면 모든 것을 안전하게 유지하는 데 도움이 될 수 있습니다.
우선, 사용자가 프로그램 기능에 액세스할 수 있도록 모든 곳에 인증 검사를 포함해야 합니다.인증 검사가 전혀 없는 경우 전투는 처음부터 패배하게 됩니다.
모범 사례의 한 가지 좋은 점은 사용자가 액세스할 수 있는 URL에 세션 ID가 노출되지 않도록 하는 것입니다.인증 실패와 관련된 위의 두 번째 예에서는 세션 쿠키가 한 번도 노출되지 않았다면 공격자가 세션 쿠키의 디코딩을 시도하지 못하도록 하는 것이 훨씬 쉽습니다.
다단계 인증을 구현하는 것도 좋은 생각입니다.이는 촉박한 일정에 따라 알고리즘적으로 암호를 생성하는 하드웨어 토큰을 사용하여 안전하게 수행할 수 있습니다.사용자에게 이와 같은 기기를 제공할 수 없다면 SMS 문자 메시지도 효과가 있을 수 있습니다.하지만 사용자 요청은 30초 동안 세 번 또는 네 번 시도하는 것과 같이 합리적인 것으로 제한하고 코드가 모두 몇 분 후에 만료되도록 해야 합니다.영숫자 코드를 사용하면 잠재적 암호에 문자와 숫자를 추가하여 보안을 강화할 수도 있습니다.
마지막으로, 가능하면 사용자 이름이나 예측 가능한 순차적 값을 세션 ID로 사용하지 마십시오.대신 매번 임의의 세션 ID를 생성하는 안전한 서버측 세션 관리자를 사용하십시오.
보안 인증 방법을 구현하는 것은 일반적인 취약점을 해결하는 것보다 조금 더 까다롭습니다.하지만 권한 부여는 모든 애플리케이션, 프로그램 및 API에 매우 중요하므로 시간을 들여 제대로 되었는지 확인하는 것이 좋습니다.
확인해 보세요 시큐어 코드 워리어 이 취약성에 대한 자세한 정보와 다른 보안 결함으로 인한 피해로부터 조직과 고객을 보호하는 방법을 알아보려면 블로그 페이지를 참조하십시오.또한 다음과 같은 방법도 있습니다. 데모 사용해 보기 Secure Code Warrior 교육 플랫폼을 통해 모든 사이버 보안 기술을 연마하고 최신 상태로 유지할 수 있습니다.
Klicken Sie auf den folgenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Bericht anzeigenDemo-Termin vereinbaren
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
인증 실패로 인해 API 문제에 대한 OWASP 목록이 된 것은 놀라운 일이 아닙니다. 인증 메커니즘은 올바르게 구현하기가 매우 어렵기로 악명이 높습니다.또한 공격자는 그 특성상 대부분의 인증 문제를 사용자에게 노출시켜야 하기 때문에 공격자가 이를 연구하고 악용할 수 있는 패턴이나 취약점을 찾아낼 기회를 주기 때문에 약간의 이점이 있습니다.
마지막으로, 인증은 애플리케이션은 물론 잠재적으로 네트워크의 나머지 부분에 대한 게이트웨이 역할을 하는 경우가 많기 때문에 공격자의 공격 대상이 될 수 있습니다.인증 프로세스가 손상되거나 취약한 경우 공격자가 해당 취약점을 발견하고 악용할 가능성이 높습니다.
따라서 이 장에서는 인증 문제와 관련하여 악의적인 사용자를 차단하는 방법을 알아보겠습니다.먼저 실력을 테스트하고 싶다면 게임화된 챌린지를 플레이하세요.
점수를 높이고 싶으신가요?우리가 그걸 분석하는 동안 내 곁에 있어줘.
손상되거나 잘못 구성된 인증의 예로는 어떤 것이 있습니까?
인증 방법이 자격 증명 스터핑에 취약하거나 알려진 사용자 이름 및 암호 목록을 사용하여 보안을 침해하는 경우를 예로 들 수 있습니다.다단계 인증과 같이 일반적으로 매우 안전한 인증 방법이라도 요청이 제한되거나, 제한되거나, 모니터링되지 않으면 취약할 수 있습니다.
예를 들어 공격자는 /에 POST 요청을 보내 암호 복구 요청을 트리거할 수 있습니다.api/시스템/검증 코드 요청 본문에 사용자 이름을 제공합니다.앱에서 6자리 코드가 사용자의 휴대폰으로 전송되는 SMS 문자 메시지 챌린지를 사용하지만 입력 필드가 제한되지 않는 경우 몇 분 만에 애플리케이션을 분석할 수 있습니다.공격자는 올바른 숫자 조합에 도달할 때까지 가능한 모든 6자리 숫자 조합을 애플리케이션에 전송하기만 하면 됩니다.
이 시나리오에서는 표면적으로는 2단계 인증을 통해 애플리케이션을 안전하게 보호할 수 있는 것처럼 보입니다.하지만 사용자 입력이 속도 제한이 없기 때문에 인증이 제대로 이루어지지 않고 취약합니다.
또 다른 예로, 애플리케이션은 인코딩된 사용자 객체를 인증 쿠키로 사용할 수 있습니다.하지만 낮은 수준의 사용자 액세스 권한을 가진 공격자가 Base64를 사용하여 해당 쿠키를 디코딩하면 쿠키가 애플리케이션에 대한 세션과 사용자를 정의하는 방법을 발견할 수 있습니다.예를 들어 디코딩되면 다음과 같은 JSON이 표시될 수 있습니다.
{
“사용자 이름”: “ShadyGuy”,
“역할”: “사용자”
{
이때 악의적인 사용자는 사용자 이름, 역할 또는 둘 다를 변경할 수 있습니다.다음과 같은 몇 가지 값을 변경하여 더 높은 권한 수준을 가진 다른 사용자가 될 수 있습니다.
{
“아이디”: “굿가이”,
“역할”: “관리자”
{
이때 공격자가 정보를 다시 코딩하여 쿠키 값으로 설정하면 기본적으로 더 높은 권한 수준을 가진 새 사용자가 됩니다.이와 같은 변경을 방지할 수 있는 방법이 마련되어 있지 않으면 응용 프로그램이 변환을 받아들일 가능성이 높습니다.
손상되거나 잘못 구성된 인증 제거
인증에 실패하면 전반적인 보안이 침해될 가능성이 높습니다.하지만 애플리케이션을 코딩할 때 몇 가지 중요한 지침을 따르면 모든 것을 안전하게 유지하는 데 도움이 될 수 있습니다.
우선, 사용자가 프로그램 기능에 액세스할 수 있도록 모든 곳에 인증 검사를 포함해야 합니다.인증 검사가 전혀 없는 경우 전투는 처음부터 패배하게 됩니다.
모범 사례의 한 가지 좋은 점은 사용자가 액세스할 수 있는 URL에 세션 ID가 노출되지 않도록 하는 것입니다.인증 실패와 관련된 위의 두 번째 예에서는 세션 쿠키가 한 번도 노출되지 않았다면 공격자가 세션 쿠키의 디코딩을 시도하지 못하도록 하는 것이 훨씬 쉽습니다.
다단계 인증을 구현하는 것도 좋은 생각입니다.이는 촉박한 일정에 따라 알고리즘적으로 암호를 생성하는 하드웨어 토큰을 사용하여 안전하게 수행할 수 있습니다.사용자에게 이와 같은 기기를 제공할 수 없다면 SMS 문자 메시지도 효과가 있을 수 있습니다.하지만 사용자 요청은 30초 동안 세 번 또는 네 번 시도하는 것과 같이 합리적인 것으로 제한하고 코드가 모두 몇 분 후에 만료되도록 해야 합니다.영숫자 코드를 사용하면 잠재적 암호에 문자와 숫자를 추가하여 보안을 강화할 수도 있습니다.
마지막으로, 가능하면 사용자 이름이나 예측 가능한 순차적 값을 세션 ID로 사용하지 마십시오.대신 매번 임의의 세션 ID를 생성하는 안전한 서버측 세션 관리자를 사용하십시오.
보안 인증 방법을 구현하는 것은 일반적인 취약점을 해결하는 것보다 조금 더 까다롭습니다.하지만 권한 부여는 모든 애플리케이션, 프로그램 및 API에 매우 중요하므로 시간을 들여 제대로 되었는지 확인하는 것이 좋습니다.
확인해 보세요 시큐어 코드 워리어 이 취약성에 대한 자세한 정보와 다른 보안 결함으로 인한 피해로부터 조직과 고객을 보호하는 방법을 알아보려면 블로그 페이지를 참조하십시오.또한 다음과 같은 방법도 있습니다. 데모 사용해 보기 Secure Code Warrior 교육 플랫폼을 통해 모든 사이버 보안 기술을 연마하고 최신 상태로 유지할 수 있습니다.
Inhaltsverzeichnis
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Demo-Termin vereinbarenDownloadHilfreiche Ressourcen für den Einstieg
Themen und Inhalte der Sicherheitsschulung
Die branchenweit besten Inhalte werden unter Berücksichtigung der Kundenrollen ständig weiterentwickelt und an die sich ständig verändernde Softwareentwicklungsumgebung angepasst. Es werden Themen angeboten, die alle Bereiche von KI bis hin zu XQuery-Injection abdecken und für verschiedene Rollen geeignet sind, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA-Mitarbeitern. Sehen Sie sich vorab an, was der Inhaltskatalog nach Themen und Rollen zu bieten hat.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Hilfreiche Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
Cybermon 2025 Bit The Boss ist jetzt das ganze Jahr über bei SCW verfügbar. Stärken Sie die Entwicklung von Sicherheits-KI in großem Maßstab durch den Einsatz fortschrittlicher KI/LLM-Sicherheitslösungen.
Erläuterung des Gesetzes zur Cyber-Resilienz: Bedeutung der Entwicklung von Sicherheitsdesign-Software
Erfahren Sie mehr über die Anforderungen und Anwendungsbereiche des EU-Cyberresilienzgesetzes (CRA) und darüber, wie sich Ingenieurteams durch Design, Praktiken, Schwachstellenvermeidung und die Einrichtung einer Entwicklerumgebung sicher vorbereiten können.
Erfolgsfaktor 1: Definierte und messbare Erfolgskriterien
Enabler 1 bietet eine zehnteilige Reihe von Erfolgsfaktoren, die zeigen, wie sichere Codierung zu Geschäftsergebnissen wie einer schnelleren Risikominderung und Kostensenkung für die Reifung langfristiger Programme beitragen kann.
