취약한 패스워드 복구 취약점은 패스워드 찾기 같은 프로세스로 인해 공격자가 불법적으로 다른 사용자의 패스워드를 획득, 변경할 가능성이 있는 취약점 입니다.
해커가 취약점 찾기를 메일, 문자 등 다른 인증을 요구하지 않고 사용자 화면에서 바로 표출하는 경우에 이에 쉽게 접근하여 사용자의 비밀번호를 확인 할 수 있기 때문입니다.
#방법1
이를 대비하기 위해서는 사용자의 비밀번호를 문자 및 특수문자를 입력받게 하여 위변조가 어렵게 하는 것 입니다.
브라우저인 Javascript에서 사용자 비밀번호 입력 시 해당 유효성을 검증하게 합니다.
https://lts0606.tistory.com/547
#방법2
서버에서 비밀번호을 입력받을 때 특수문자가 있는지, 단순한 패턴으로 입력받았는지 한번 더 검증하게 합니다.
Javascript와 마찬가지로 정규식을 통하여 문자내용을 점검 합니다.
#방법3
비밀번호 찾기를 하는 경우에 사용자가 등록한 이메일, 휴대폰 및 소셜(카카오, 네이버, 구글 등) 플랫폼과 연동하여 가입시 인증된 정보를 바탕으로 비밀번호를 발송하게 기능을 추가 합니다.
그러므로 회원 가입 단계에서의 인증이 반드시 들어가야 하겠습니다.
이상으로 취약한 패스워드 복구(PR) 조치 방법에 대해서 간단하게 살펴보았습니다.
궁금한점 또는 틀린 부분은 언제든 연락주세요! 👻
반응형
'웹 취약점(Web vulnerability)' 카테고리의 다른 글
| 15. 세션 예측(SE) (0) | 2021.12.07 |
|---|---|
| 14. 크로스 사이트 리퀘스트 변조(CSRF) (0) | 2021.12.06 |
| 12. 불충분한 인증(IA) (0) | 2021.12.02 |
| 11. 크로스 사이트 스크립팅(XS, XSS, Cross Site Scripting) (0) | 2021.12.02 |
| 10. 악성 콘텐츠(CS) (0) | 2021.12.02 |
* 위 에니메이션은 Html의 캔버스(canvas)기반으로 동작하는 기능 입니다. Html 캔버스 튜토리얼 도 한번 살펴보세요~ :)
* 직접 만든 Html 캔버스 애니메이션 도 한번 살펴보세요~ :)
댓글