Authentication vulnerabilities

1. 원인 : 시스템이 사용자의 신원을 제대로 확인하지 못해 발생하는 보안 결함

2. 주요 예시

• 취약한 비밀번호 정책
• 인증 우회(Authentication Bypass)
• 세션 관리 미흡
• 자격 증명 도용

3. 대응 방안

• 다중 인증(MFA) 도입
• 강력한 세션 관리
• 보안 라이브러리 활용
• 자동화 공격 방어

4. 추가 조치 사항

• 로그인 시 status code, error messages 등이 뜨지 않도록 설정하면 좋음.
• 로그인 시 response times가 동일해야 함. ID 틀리고, 비번 틀리고 등으로 차이 확인 가능

5. 실습 1 (Username enumeration via subtly different responses)

해당 실습은 아이디 list, 비밀번호 list가 있을 때 매칭되는 것을 찾는것이다. 처음엔 ID만 입력해보고 burp suite의 intruder기능을 사용했는데, 계정의 유무와 상관없이 응답이 비슷하였다. (PW도 마찬가지)

그래서 burp suite의 combination으로 공격하였다. (이미지 참고)

payload의 개수와 공격 list에 따라 해당 공격 방식을 선택할 수 있다.
과거까진 sniper attack을 하였다면, 이번 실습에서는 cluster bomb attack을 실행하여 101 X 100 개의 조합을 공격할 수 있다.
(당연히 오래걸림... 1시간이 지나도 안 끝남.. 그래서 solution을 봄)

solution 보니까 설정의 "Grep - Extract " 기능 사용하는 것이었음.
해당 기능을 사용하면, intruder 결과에서 특정 문구를 추출할 수 있음.

그걸로 ID가 존재하는 것에 대하여 특정 문구가 다르게 출력되는지 확인 가능.. (하.. burp suite 기능 많은데 이걸 어케 앎;;)

암튼 그걸로 ID 찾고 이에 맞는 PW를 다시 검색하면 됨.

일단 위에서 cluster bomb attack 기능을 사용해도 가능하다는 solution 내용 있긴함;;