사용자 정보 목록화 이슈

■ 사용자 정보 목록화 이슈

시스템의 어떠한 인증 체계에 취약점이 존재하여 공격자가 시스템에 존재하는 사용자 계정 목록을 흭득할 수 있는 취약점을 말한다. 사용자 계정은 로그인 시 잘못된 인증 시도를 하더라도 계정의 존재 여부가 알려지는 것은 위험하다.

 

전의 취약점 실습과 같은 환경에서 진행을 하며 로그인 화면에서 ID:test, Password:1234로 로그인을 하는 과정에서의 출력되는 시스템 메시지를 확인해본다.

response패킷을 확인해보니 ”User Does not Exist“인 존재하지 않는 아이디라고 메시지가 출력 되어지는 취약점이 존재하게 된다.

또한 이번에는 존재하는 계정인 ID:jack으로 하며 Password는 틀리게 1234로 다시 로그인을 해본다.

response패킷을 확인해보니 이번에는 패스워드가 틀렸다는 메시지인 ”Wrong Password“가 출력이 되어지며 아이디는 존재한다는 추측을 할 수 있는 취약점이 존재한다.

■ 대응방안

공격자가 로그인 시도 시 에러 메시지를 통해 계정 정보를 유추할 수 없도록 에러메시지를 반환해야한다. ex) 아이디와 비밀번호를 확인해주시기 바랍니다.