취약한 비밀번호 변경 로직

취약한 비밀번호 변경 로직

• 인시큐어뱅크 앱의 비밀번호 변경 기능 사용시 취약한 인증으로 인해 제3자가 비밀번호 변경이 가능한 취약점.
• 실제 배포되는 앱에 이러한 취약점이 있다면 제3자가 대량의 사용자 비밀번호 변경을 통해 중요정보 및 민감정보를 획득할 수 있는 중대한 취약점.

진단방법

• 패킷을 캡처하는 환경을 세팅한다.
• 앱 구동 후 주요 기능을 살펴본다.
   비밀번호 변경기능
   사용자 정보 변경 기능
   문자 인증 기능
• 캡처된 패킷의 인증정보 및 세션 등을 검토한다.
• 파라미터 변조 / 재생공격 등을 통해 캡처된 패킷에 대해 인증 및 세션을 검토한다.

클라이언트에서 1234로 비밀번호 변경 시도 시

비밀번호 변경 시 패킷 캡처

패킷 변조를 통해 비밀번호 1234 설정 시 서버에서 승인 성공

대응방안

• 중요정보 및 민감정보를 얻어낼 수 있는 주요 기능에 대해 인증을 강화한다.

• 인시큐어뱅크에 구현된 비밀번호 변경은 사용자의 아이디만을 통해 인증하므로 변경 전 비밀번호를 입력하여 인증을 강화한다.

• 비밀번호는 중요데이터에 속하므로 평문으로 전송하지 않고 반드시 암호화를 적용하여 전송한다. (HTTPS 적용, 패킷 암호화)