Chapter 04 인증 기술과 접근 통제.

Presentation on theme: "Chapter 04 인증 기술과 접근 통제."— Presentation transcript:

1 Chapter 04 인증 기술과 접근 통제

2 01 인증 기술 02 접근 통제

3 웹 애플리케이션이 사용자를 인증하는 방법을 학습한다.
인증과 관련된 다양한 취약점 및 공격 기법을 학습한다. 웹 애플리케이션 접근 통제의 종류와 공격 방법을 학습한다.

4 1.1 인증 방법 인증 방법 인증 방법은 하나만 적용할 수도 있지만 두 개 이상의 방법을 함께 사용하는 것이 더 안전

5 1.1 인증 방법 알고 있는 것 패스워드 기반 인증 특정인을 인증할 때 사용하는 가장 일반적이고 오래된 방법
해당 정보를 본인 외에는 아무도 모르고 있어야 하는 것이 중요 패스워드 기반 인증

6 1.1 인증 방법 주민등록번호 기반 인증 주민등록번호의 앞 여섯 자리는 생년월일, 뒤 일곱 자리는 성별, 태어난 지역,
출생신고 순서, 오류 검증 번호로 구성 성별을 나타내는 숫자는 태어난 시대에 따라 구분

7 1.1 인증 방법 I-PIN(인터넷상 개인 식별번호) 기반 인증
주민등록번호를 입력하지 않고도 웹 서비스를 이용할 수 있는 개개인을 식별 하는 별도의 식별번호 개인정보 보호법에 따라 모든 포털 사이트는 회원 가입을 할 때 주민등록번호 를 대체하는 수단을 마련해야 함. 「개인정보 보호법」 제24조 제2항 (고유식별정보의 처리 제한) 대통령령으로 정하는 기준에 해당하는 개인정보 처리자는 정보 주체가 인터넷 홈페 이지를 통하여 회원으로 가입할 경우 주민등록번호를 사용하지 아니하고도 회원으로 가입할 수 있는 방법을 제공하여야 한다. <공포( ) 후 1년이 경과한 날로부터 시행( )>

8 1.1 인증 방법 가지고 있는 것 스마트카드 가장 대표적인 예는 열쇠
열쇠 외에도 신분증, 여권, 인증서, 스마트카드 등이 있음. 스마트카드 스마트카드의 IC카드 칩에 개인을 식별할 수 있는 코드 또는 현금카드와 같은 정보가 입력되어 있음.

9 1.1 인증 방법 그 자체(생체 인증) 대체하거나 모방하기 어렵기 때문에 더욱더 중요한 인증 수단으로 자리잡을 예정
현재 생체 인증에는 지문, 홍채, 망막, 얼굴, 목소리, DNA 등이 사용되고 있음. 행위 기반의 인증 수단으로는 서명, 키 누름 등이 있음.

10 1.1 인증 방법 위치하는 곳 IP 주소에 기반을 둔 시스템 접근 통제
사용자인지 확인할 수 있음.

11 1.2 인증의 취약점 공격 패스워드 설정의 취약점

12 1.2 인증의 취약점 공격 Password Strength
WebGoat를 실행 후 [Authentication Flaws]-[Password Strength] 선택

13 1.2 인증의 취약점 공격 패스워드의 취약성 확인 빨간색 링크를 클릭하거나 직접 접속 ‘123456’ 입력

14 1.2 인증의 취약점 공격 패스워드의 취약성 확인 ‘abzfezd’ 입력

15 1.2 인증의 취약점 공격 패스워드의 취약성 확인 ‘My1stPassword!:Redd’ 입력

16 1.2 인증의 취약점 공격 패스워드를 크랙하는 데 걸리는 시간 입력

17 1.2 인증의 취약점 공격 패스워드 강력도 결과 확인 값을 모두 입력한 후 <Go> 클릭
패스워드는 영문 소문자와 대문자, 숫자, 특수문자를 조합해 복잡하게 만들수 록 안전

18 1.2 인증의 취약점 공격 Forgot Password
WebGoat 실행 수 메뉴에서 [Authentication Flaws]-[Forgot Password] 선택

19 1.2 인증의 취약점 공격 정상적인 사용자 정보로 패스워드 탐색
User Name에 ‘webgoat’를 입력하고 <Submit> 클릭 다음 화면에서 Answer에 ‘red’를 입력하고 <Submit> 클릭

20 1.2 인증의 취약점 공격 다른 사용자의 패스워드 탐색
화면 상단의 <Restart Lesson>을 클릭하여 User Name을 입력하는 화면으로 다시 이동 User Name에 ‘admin’을, Answer에 ‘red’를 입력

21 1.2 인증의 취약점 공격 다른 사용자의 패스워드 탐색
질문의 형태가 단순히 색을 묻는 것이기 때문에 공격자는 yellow, red, blue 등 의 색상을 추측하여 응답할 수 있음. 공격자가 green을 입력하여 결국 패스워드를 얻음.

22 2. 접근 통제 수직적 접근 통제 특정 정보에 대한 접근 권한을 수준별로 상이하게 설계한 통제
대부분의 웹 사이트는 일반 사용자가 접근할 수 있는 기능 외에 일반 사용자가 접근할 수 없는 관리자 기능을 만들어 놓음.

23 2. 접근 통제 수평적 접근 통제 비즈니스 로직 접근 통제
웹 애플리케이션 내에 여러 사용자가 존재할 때 상대방의 정보를 볼 수 없도록 통제하는 것 수평적 접근 통제에 대한 공격은 주로 URL에 노출되는 자신의 식별 코드를 다 른 사람의 것으로 변경하거나 쿠키 또는 세션 값을 다른 사람의 것으로 대체함 으로써 이루어짐. 예) 이메일, 인터넷 뱅킹 비즈니스 로직 접근 통제 사용자 권한에 종속되지 않고 민감하거나 중요한 자원에 대한 접근과 관련된 것 예) 일반 사용자가 관리자 권한을 전부 획득하지 못했더라도 관리자만 접근할 수 있는 메뉴에 접근하는 경우

24