14. 취약한 패스워드 복구 취약점

 

■ 개요

- 웹 어플리케이션에 존재하는 비밀번호 찾기 기능 또는 관리자에 의한 임시 비밀번호 발급 시 사용자 인증이 미흡하거나 비밀번호를 화면에 즉시 출력할 경우 공격자가 불법적으로 다른 사용자의 비밀번호를 획득, 변경, 복구 할 수 있는 취약점

- 주요정보통신기반시설 웹 취약점 진단 기준으로 14. 취약한 패스워드 복구 취약점에 해당

 

[Portswigger 이미지 참조]

 

 

■ 취약한 패스워드 복구 CheckList

- 비밀번호 복구 시, 비밀번호가 화면에 바로 출력이 되는가?

- 비밀번호 복구 과정에서 인증 절차가 미흡하여 발급된 임시 비밀번호가 공격자쪽으로 전달이 되는가?

 

 

■ 실습 환경

-PortSwigger Web Academy

 

■ 파일 업로드 실습1

Step 1) PortSwigger web academy Lab 목표가 취약한 패스워드 복구 취약점을 활용하여 carlos 계정 패스워드를 탈취 후 로그인하는 것이 목표

 

Step 2) 패스워드 분실 버튼을 클릭 후 기존에 발급받은 ID인 'wiener' 입력 시, wiener 이메일 주소가 등록된 서버로 전달됨을 확인. Email Client를 통해 확인 시, 임시 패스워드 토큰을 생성받은 것을 확인할 수 있으며 해당 하이퍼링크로 접근 시, 패스워드 변경 후 정상적으로 로그인됨을 확인. 

[패스워드 분실 버튼 클릭]

[임시 패스워드를 발급받을 계정명 또는 이메일 주소 입력]

 

[burp suite으로 확인 결과 POST 방식으로 전달하고 있으며 정상적으로 임시 비밀번호 발급된 것을 확인]

 

 

[공격자 메일 서버로 이동]

 

[이메일 클라이언트로 이동]

 

 

[이메일 클라이언트에 임시 비밀번호 발급받는 URL 주소 확인]

 

[해당 URL로 이동 후 임시 비밀번호로 변경할 수 있음을 확인]

 

 

Step 3)  희생자의 메일 주소 및 메일 계정에 대한 정보를 몰라도 Host값을 공격자 서버로 변조하여 임시 비밀번호 경로가 공격자 서버로 전달됨을 확인할 수 있었으며, 발급받은 경로로 이동 시 타 계정 비밀번호 비밀번호 변경 및 접근 가능 확인.

웹에서 통신할 때 'HOST'라는 헤더가 존재하는데, 서버의 도메인 이름을 나타내는 헤더로 사용된다. 웹상에서 'host' 헤더 입력값에 대한 적절한 검증을 하지 않을 경우, 공격자는 이를 이용하여 정상적인 'host'가 아닌 공격자 서버로 변조하여 피싱 사이트 접근, XSS 실행, 암호 재설정 등의 공격이 가능하다.

 

[임시 비밀번호 설정하는 요청에서 계정을 희생자 계정, Host를 공격자 서버로 변조]

[burp suite으로 요청한 값이 공격자 서버로 전달됨을 확인]

[전달받은 경로로 접근 시 희생자 비밀번호 재 발급할 수 있는 창으로 이동 확인]

[변경한 패스워드로 희생자 계정 접근 가능 확인]

 

 

■ 취약한 패스워드 복구 대응 방안

① 수동 점검

- 패스워드 복구 과정에서 설정해 둔 이메일 또는 연락처가 아닌 홈페이지에 바로 임시 비밀번호가 뜨거나, 이메일로 전달된 패스워드가 난수 값이 아닌 고정 값으로 발급되는 지 여부를 파악

- Host 헤더 등을 변조하여 설정해 둔 이메일이 아닌 서버로 임시 비밀번호가 발급되는 지 테스트 필요

[발급 된 패스워드가 난수 값으로 설정되는지 여부 파악]

 

[임시 비밀번호 설정하는 요청에서 계정을 희생자 계정, Host를 공격자 서버로 변조]

 

■ 취약한 패스워드 복구 대응 방안

1. 사용자의 개인정보(연락처, 주소, 메일 주소 등)로 패스워드를 생성하지 말아야 하며, 난수를 이용한 불규칙적이고 최소 길이(6자 이상 권고) 이상의 패턴이 없는 패스워드를 발급하여야 함

 

2. 사용자 패스워드를 발급해주거나 확인해줄 때 웹 사이트 화면에 바로 출력해주는 것이 아니라 인증된 사용자 메일이나 SMS로 전송해주어야 함

 

3. 호스트 헤더에 대해 올바르게 유효성을 검증해야 하며, 허용된 도메인만 입력받을 수 있도록 화이트리스트로 설정