티스토리 뷰
※ 일반적인 점검 방법이며, 양호/취약 여부는 사이트에 따라 다르게 적용,논의될 수 있습니다.
| 항목 | [전자금융] 거래 인증수단 검증 오류 |
| 대상 | 결제 기능 대상 (전자금융 대상) |
| 항목 설명 | 전자금융거래에 적용된 거래 인증수단 검증의 적절성 여부를 점검 |
| 점검 기준 | - 잘못된 인증정보(비밀번호, OTP, 보안카드 번호 등) 입력 후 정상 거래 가능 여부 점검 - 폐기된 인증수단(인증서, 보안카드, OTP 등)을 통해 인증 시도 후 정상 거래 가능 여부 점검 - SMS, ARS, 계좌 등의 인증수단 이용 시, 인증 유효시간 제한 여부 점검 - 인증 매체를 통해 전달받은 인증정보를 금융회사에서 정한 시간 이후에 인증 요청 시 정상 처리 가능 여부를 점검 |
| 점검 방법 | 1. 전자금융거래를 위한 지식/소지 기반 인증 우회 시도 1) 패킷에 포함된 인증값 확인 2) 인증값 위변조 A) 정상 인증 여부를 체크하는 파라미터 위변조 B) 인증값 복호화하여 타인의 정보로 위변조 후 재암호화 3) 인증이 정상 처리 가능한지 확인 2. 전자금융거래를 위한 소지 기반 인증 우회 시도(SMS, ARS, 계좌) 1) 인증 제한 시간이 일정시간(ex. 5분) 이하로 설정되어 있는지 확인 2) 인증 값 위변조 A) 인증 시간을 제한하는 파라미터 위변조 B) 인증 시간을 제한하는 코드 제거 3) 제한하는 시간 이후 인증이 정상 처리 가능한지 확인 (Brute Force 공격 가능) 3. URL 직접 입력을 통한 인증 우회 시도 1) 정상 인증을 통해 URL 획득 2) URL 강제 입력을 통해 접근 인증 없이 접근 가능한지 확인 |
| 항목 | (2024년 기준 삭제) [전자금융] 사전에 정한 조회기간 이상으로 거래내역 조회가능 여부 |
| 대상 | 결제 기능 대상 (전자금융 대상) |
| 항목 설명 | o 거래내역 조회 시 금융회사가 정한 기간 이상의 내역 조회 가능 여부를 점검 |
| 점검 기준 | - 3개월로 정한 거래내역 조회기능을 3개월 이상으로 변경 후 응답 여부 점검 - 거래가 종료된 계좌에 대해 거래내역을 임의 조회 가능 여부 점검 등 |
| 점검 방법 | 1. 사전에 정한 조회기간 이상으로 거래내역 조회 시도 1) 사전에 정한 조회 기간 확인 2) 조회 기간 파라미터를 조회 기간 이상으로 위변조 3) 조회 기간 이상으로 조회 가능한지 확인 2. 전자금융 조회 검증 로직 제거/무력화 시도 1) 사전에 정한 조회 기간 확인 2) 조회 기간을 제한하는 코드 제거 3) 조회 기간 이상으로 조회 가능한지 확인 |
| 항목 | 부적절한 이용자 인가 여부 |
| 대상 | 권한 기능 대상 |
| 항목 설명 | o 접근 권한에 대한 검증 과정이 구현되지 않아 다른 이용자의 민감한 정보나 권한이 노출 될 수 있으므로 이에 대한 검증절차 존재 여부를 점검 |
| 점검 기준 | - 현재 로그인 중인 이용자가 중요 정보가 포함된 페이지에 대해 접근권한 확인 여부 점검 - 중요 정보 페이지에서 이용자 파라미터 변경으로 타인의 정보를 열람, 수정이 가능 여부 점검 - 통상 파라미터 위변조에 따른 비정상적인 권한상승/조회/변경 가능 여부 등을 점검 |
| 점검 방법 | 1. 권한 상승 시도 1) 인가되지 않는 페이지 접근 실패 확인 및 계정의 권한 확인 2) 권한 위변조 A) 페이지 접근 시 권한을 체크하는 코드, 토큰 및 파라미터 위변조 B) 로그인 시 권한 파라미터 위변조 3) 권한이 상승되거나 상승된 권한으로 페이지 접근 가능한지 확인 2. URL 강제 입력으로 접근 시도 1) 인가되지 않은 사용자로 URL 강제 접근 시도 2) 숨겨진 URL 확보 A) 브라우저 소스코드 확인 B) 프록시 툴의 기능(ex. Burp Suite → Site Map)을 이용하여 노출된 사이트 확인 3) 인가되지 않은 페이지(또는 구버전 페이지나 관리 페이지 등)로 접근 가능한지 확인 |
| 항목 | 쿠키 변조 |
| 대상 | 모든 대상 |
| 항목 설명 | o 쿠키 정보를 통해 이용자 검증 또는 데이터 입력에 사용되는 점을 악용하여, 쿠키 정보 조작을 통해 타이용자 권한 획득 또는 기타 중요정보 유출 가능 여부를 점검 |
| 점검 기준 | - 쿠키에 계정, 권한 구분자, 인증ID 등 이용자의 권한을 식별할 수 있는 내용에 대한 조작을 통해 타 이용자의 권한으로 정상이용 가능 여부 점검 등 |
| 점검 방법 | 1. 쿠키 변조를 통한 권한 상승 1) 쿠키에 계정 정보나 권한을 체크하는 값이 포함되어 있는지 확인 ※ 인코딩(Base64, URL 등) 되어 있을 경우 디코딩하여 내용 확인 2) 타 계정이나 관리자 계정으로 쿠키값 위변조(root, admin, test) 3) 권한이 상승되거나 상승된 권한으로 페이지 접근 가능한지 확인 |
'Information Security > Penetration Testing' 카테고리의 다른 글
| 보안 설정 오류 (4) | 2024.06.02 |
|---|---|
| 인젝션 (0) | 2024.06.01 |
| 암호화 실패 (0) | 2024.05.31 |
| 전자금융기반시설 취약점 분석 평가 점검 기준(웹/모바일) 분류_2024년 기준 (0) | 2024.05.30 |
| 전자금융기반시설 취약점 분석 평가 점검 기준(웹/모바일) 분류_2023년 기준 (0) | 2024.05.30 |
공지사항
최근에 올라온 글
최근에 달린 댓글
- Total
- Today
- Yesterday
링크
TAG
- 언젠가공개하려나
- 전자금융기반시설
- ip전화기
- linguisticlumberjack
- AWS
- 접근제어취약점
- 구현기준
- 사용자권한상승취약점
- 점검항목분류
- 전자금융기반시설취약점분석평가
- 항목가이드
- 디렉터리트레버셜
- RCE
- 프리미엄베개
- awssap
- sw보안약점
- SAP
- 금취분평
- 링귀스틱럼버잭
- cve
- 점검가이드
- 정보보안기획
- 테크노젤
- 명령어주입
- 무선해킹탐지시스템
- neural compressor
- 취약점분석평가
- 전자금융취약점분석평가
- 크로스 사이트 스크립트
- 취약점
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
| 29 | 30 |
글 보관함