(해당 취약점은 공격 방법이 없습니다.)
기준
취약점 설명
ID를 통한 PW 찾기를 할 때 임시로 생성된 PW가 취약할 경우 발생하는 취약점입니다.
ID값을 알고 있을 경우 복구를 통해 타 사용자의 ID를 탈취할 수 있습니다.
해당 취약점은 사용자 및 관리자의 PW를 복구하여 사용자의 ID를 탈취하는 방법으로 서비스를 장학할 수 있는 위험한 취약점입니다.
------------------------------------------------------------------------------------------------------------------------------
간략하게나마 찾은 취약점에 대해 말하자면 패드워드 복구가 약한 경우도 있지만 인증 코드 발송 시에 Response 패킷에 인증 코드가 노출되는 방법으로 발견하는 경우도 있습니다.
물론 관련된 취약점은 아닐 수도 있지만 말한 경우처럼 각각의 공격 방법을 조합하여 취약점을 발견하는 경우도 많아 간략하게 써봤습니다.
'Web' 카테고리의 다른 글
| 세션 예측 | 세션 고정 | 불충분한 세션 만료 (주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세가이드) (0) | 2022.03.24 |
|---|---|
| CSRF (Cross-Site Request Forgery) (주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세가이드) (0) | 2022.03.24 |
| 불충분한 인증 (주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세가이드) (0) | 2022.03.23 |
| 약한 문자열 강도 (주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세가이드) (0) | 2022.03.22 |
| XSS (Cross-Site Script) (주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세가이드) (0) | 2022.03.22 |