사용자 정보 목록화 이슈

정의
- 시스템의 어떠한 인증 체계에 취약점이 존재하여 공격자가 시스템에 존재하는 사용자 계정 목록을 획득할 수 있는 취약점

영향
- 에러메시지를 통해 아이디/비밀번호를 유/무 판별할 수 있는 정보를 획득할 수 있다.

진단
시스템에 존재하지 않는 아이디와 비밀번호를 입력했다.

그림 1-1 첫 번째 입력

메시지를 출력하여 사용자 계정의 존재 유무를 알려준다.

그림 1-2 계정유무 확인

시스템에 존재하는 아이디의 비밀번호를 잘못 입력했다.

그림 1-3 두 번째 입력

비밀번호가 틀렸다는 사실을 메시지로 알려준다.

그림 1-4 틀린 비밀번호 메시지

시스템에 존재하는 아이디와 정확한 비밀번호를 입력했다.

그림 1-5 세 번재 시도

로그인에 성공했다는 메시지가 출력됬다.

그림 1-5 로그인 성공

대응방안
- 로그인 시도 속도를 제한하여 자동화 도구를 이용한 공격을 방지한다. 로그인 실패시 메시지는 상세한 피드백을 제공하지 않고 포괄적으로 대응한다. 실시간 모니터링을 통해 비정상적인 로그인 시도를 탐지한다.