Notice
Recent Posts
Recent Comments
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
| 29 | 30 | 31 |
Tags
- beebox
- igoat
- ESXi
- base64
- 2018
- otter
- NTFS
- vulnhub
- Reflected XSS
- Volatility
- diva
- CTF-d
- lord of sql injection
- MFT
- SQL Injection
- 파이썬
- Strings
- Suninatas
- elasticsearch
- XSS
- 안드로이드
- 인시큐어뱅크
- foremost
- InsecureBank
- Openstack
- logstash
- kibana
- frida
- ctf
- Docker
Archives
- Today
- Total
Information Security
사용자 정보 목록화 이슈 본문
정의
- 시스템의 어떠한 인증 체계에 취약점이 존재하여 공격자가 시스템에 존재하는 사용자 계정 목록을 획득할 수 있는 취약점
영향
- 에러메시지를 통해 아이디/비밀번호를 유/무 판별할 수 있는 정보를 획득할 수 있다.
진단
시스템에 존재하지 않는 아이디와 비밀번호를 입력했다.
메시지를 출력하여 사용자 계정의 존재 유무를 알려준다.
시스템에 존재하는 아이디의 비밀번호를 잘못 입력했다.
비밀번호가 틀렸다는 사실을 메시지로 알려준다.
시스템에 존재하는 아이디와 정확한 비밀번호를 입력했다.
로그인에 성공했다는 메시지가 출력됬다.
대응방안
- 로그인 시도 속도를 제한하여 자동화 도구를 이용한 공격을 방지한다. 로그인 실패시 메시지는 상세한 피드백을 제공하지 않고 포괄적으로 대응한다. 실시간 모니터링을 통해 비정상적인 로그인 시도를 탐지한다.
'모바일 > InsecureBank 분석' 카테고리의 다른 글
| 하드코딩 보안 (0) | 2019.07.14 |
|---|---|
| 인자 전달값 조작 (0) | 2019.07.14 |
| 안전하지 않은 HTTP 통신 (0) | 2019.07.14 |
| 런타임 조작 취약점 (0) | 2019.07.14 |
| 안드로이드 백업 취약점 (0) | 2019.07.14 |
'모바일/InsecureBank 분석' Related Articles
more
