Authentication 취약점이란?

 

Authentication(인증)이란? 

• 인증은 사용자나 클라이언트의 신원을 확인하는 프로세스이며 세 가지 주요 유형이 존재.
• 비밀번호나 보안 질문에 대한 답변 등 사용자가 알고 있는 정보를 "지식 요소"이라고 함
• 가지고 있는 것, 휴대폰이나 보안 토큰과 같은 물리적인 물체를 "소유 요인"이라고 함
• 하는 일이나 생체 인식, 행동 패턴 등을 "고유 요인"이라고 함

 

인증과 승인의 차이점

• 인증은 사용자가 자신이 주장하는 사람인지 확인하는 프로세스이며, 승인은 사용자가 어떤 작업을 수행할 수 있는지 여부를 확인하는 작업이 포함됨 

 

Authentication 취약점이 발생하는 이유

• 인증 메커니즘이 무차별 대입 공격으로부터 적절하게 보호받지 못하기 때문 
• 구현 시 논리 결함이나 잘못된 코딩으로 인해 공격자가 인증 메커니즘을 완전히 우회할 수 있어 이를 "Broken Access" 라고도 함

 

Authentication 메커니즘의 취약점의 예

• 비밀번호 기반 로그인 
• 다단계 인증
• 등등 

 

 

Authentication 취약점의 영향

• 공격자가 인증을 우회하거나 다른 사용자의 계정에 무차별 대입 공격을 가하는 경우 공격자는 손상된 계정에 있는 모든 데이터와 기능에 액세스할 수 있다. 시스템 관리자와 같이 높은 권한의 계정을 손상시킬 수 있는 경우 전체 애플리케이션을 완전히 제어하고 잠재적으로 내부 인프라에 대한 액세스 권한을 얻을 수 있다.
• 권한이 낮은 계정을 손상시키더라도 공격자는 상업적으로 민감한 비즈니스 정보와 같이 보유해서는 안되는 데이터에 대한 액세스 권한을 부여받을 수 있다. 계정에 민감한 데이터에 대한 액세스 권한이 없더라도 공격자는 추가 공격 표면을 제공하는 추가 페이지에 액세스할 수 있다. 공개적으로 액세스할 수 있는 페이지에서는 심각도가 높은 공격이 불가능한 경우가 많지만 내부 페이지에서는 가능할 수도 있다.