5. 통신 과정 취약점 진단

1. 통신 과정 파라미터 조작을 통한 인증 우회

○ 클라이언트와 서버가 통신할 때 중간에 패킷을 가로채서 파라미터를 변조하는 취약점

○ 정상적인 요청 값을 공격자가 변조하여 정보 유출 등의 피해가 발생

○ 또한, 파라미터 조작을 통해 인증 우회도 가능

 

계좌송금 시 금액을 변경함

 

요청/응답 패킷 변조 시에도 입력 금액의 변경이 없으므로 취약하지 않음

 

jack 계정 패스워드 변경 시 계정의 이름을 dinesh로 변경

 

비밀번호 변경 기능을 사용할 떄 발생하는 취약점으로, 다른 사용자의 비밀번호를 변경 가능

 

2. 통신 과정 암호화 여부 확인

http 프로토콜을 사용하고 있으며, 계좌 전송 내용이 평문으로 전송됨

 

http 프로토콜을 사용하고 있으며, 계정/패스워드가 평문으로 전송됨

 

3. 대응방안

○ 파라미터 값을 암호화하여 조작 불가능하도록 해야 함

○ 세션 값 검증을 통해 다른 사용자 계정에 대한 조작이 불가능하도록 해야 함

○ 파라미터 조작을 통한 입력 값에 대한 유효성 검증은 서버에서 검증하도록 해야 함

○ 비밀번호 변경 기능을 사용할 때 아이디로만 인증하는 것이 아닌, 이전 비밀번호도 포함해 인증하도록 강화

○ 또한, 비밀번호 변경 시 통신은 HTTP가 아닌 HTTPS로 통신하도록 암호화 적용 필수