티스토리 뷰
※ 일반적인 점검 방법이며, 양호/취약 여부는 사이트에 따라 다르게 적용,논의될 수 있습니다.
| 항목 | [전자금융] 거래정보 재사용 |
| 대상 | 결제 기능 대상 (전자결제 대상) |
| 항목 설명 | o 전자금융거래 시 이용되는 거래정보의 재사용 가능 여부를 점검 |
| 점검 기준 | - 기 사용된 거래정보(이체 전문, 결제 전문 등)를 재전송하여 정상거래 가능 여부를 점검 등 |
| 점검 방법 | 1. 거래정보 재사용 확인 절차 1) 결제 및 거래 진행 2) 거래 인증에 사용되는 해시값을 확인 3) 사용된 해시값을 프록시 도구를 통해 재삽입 4) 사용된 해시값으로 거래가 정상 처리되는지 확인 |
| 항목 | [전자금융] 거래시 소유주 확인 여부 |
| 대상 | 결제 기능 대상 (전자결제 대상) |
| 항목 설명 | o 전자금융거래 시 이용자의 이용 권한 검증 여부를 점검 |
| 점검 기준 | - 계좌(카드,계약)정보 조회 시 타 이용자의 계좌(카드,계약)번호 입력 후 타 이용자 계좌 조회 가능 여부 점검 - 거래 요청 시 계좌 번호를 현재 로그인 중인 이용자가 아닌 다른 이용자의 계좌번호로 변조하여 거래 시도 등 |
| 점검 방법 | 1. 소유주 위변조(로그인 기능 O) 1) 로그인 진행 2) 결제 및 거래 진행 중 타인의 계좌번호/카드번호/핸드폰번호 삽입 3) 추가 인증 절차 없이 타인의 정보로 결제/결제 취소가 동작하는지 확인 2. 소유주 위변조(로그인 기능 X) 1) 결제 및 거래 진행 중 타인의 계좌번호/카드번호/핸드폰번호 삽입 2) 추가 인증 절차 없이 타인의 정보로 결제/결제 취소가 동작하는지 확인 |
| 항목 | [전자금융] 비밀번호 변경 시 본인확인 절차 실시 여부 |
| 대상 | 결제 기능 대상 (전자결제 대상) |
| 항목 설명 | o 전자금융거래 시 사용되는 비밀번호 변경 시 본인확인 절차의 존재 여부를 점검 |
| 점검 기준 | - 비밀번호 변경 시 본인확인 절차 존재 여부 점검 등 |
| 점검 방법 | 1. 비밀번호 변경 페이지 인증 절차 확인 1) 로그인 후 비밀번호 변경 페이지 접근 2) 비밀번호 변경 기능 이용시 비밀번호 입력, 핸드폰번호/이메일 인증 등의 추가 인증 절차 여부 확인 2. URL 강제 입력을 통한 인증 우회 1) 로그인 후 비밀번호 변경 페이지 접근 2) 비밀번호 변경 페이지 확보 3) 메인 홈에서 확보한 페이지로 강제 이동 시도 4) 인증이 우회되여 접근 후 비밀번호 변경 기능까지 동작하는지 확인 |
| 항목 | [전자금융] 비밀번호 변경 시 이전 비밀번호 재사용 여부 |
| 대상 | 결제 기능 대상 (전자결제 대상) |
| 항목 설명 | o 전자금융거래 시 사용되는 비밀번호 변경 시 동일 비밀번호 재사용 가능 여부를 점검 |
| 점검 기준 | - 비밀번호 변경 시 과거에 이용했던 비밀번호의 재사용 여부 점검 등 |
| 점검 방법 | 1. 정상 프로세스로 변경 시도 1) 계정 로그인 2) 최근 비밀번호로 변경 시도 3) 비밀번호 변경 시 최근 4회 사용된 비밀번호로 변경 불가하도록 제한되어 있는지 확인 2. 프록시 도구를 통해 우회 시도 1) 계정 로그인 2) 최근 비밀번호 변경 시도 3) 새로운 비밀번호로 변경 시도 4) 프록시 도구로 패킷을 변조하여 최근 비밀번호로 변경 시도 5) 비밀번호 변경 시 최근 4회 사용된 비밀번호로 변경 불가하도록 제한되어 있는지 확인 3. 변조된 Response 데이터가 서버로 다시 전송되는 로직일 경우 1) 계정 로그인 2) 최근 비밀번호 변경 시도 3) 프록시 도구로 패킷을 변조하여 Response 결과값을 승인 데이터로 변조 4) 비밀번호 변경 시 최근 4회 사용된 비밀번호로 변경 불가하도록 서버 측에서 검증하여 제한되어 있는지 확인 4. 함수 제거를 통해 우회 시도 1) 계정 로그인 2) 최근 비밀번호 변경 시도 3) Response 값의 검증 함수 제거 4) 비밀번호 변경 시 최근 4회 사용된 비밀번호로 변경 불가하도록 제한되어 있는지 확인 |
| 항목 | 이용자 인증정보 재사용 |
| 대상 | 권한 기능 대상 |
| 항목 설명 | o 중간자 공격 등에 의해 탈취된 인증정보가 재사용되는 것을 방지하기 위해 이미 사용된 인증정보(전자서명값 등)에 대해 재사용 가능 여부를 점검 |
| 점검 기준 | - 이용자 인증 수행을 위해 생성된 전자서명 값의 재사용 가능 여부를 점검 - OTP/SMS/계좌 인증에 사용되는 일회성 값의 재사용 가능 여부를 점검 - 비대면 실명인증(신분증 사본 제출) 수행 시, 서버에 전송되는 신분증 사진 및 신분증 정보(주민등록번호, 이름, 발급일자 등)에 대해 재사용 가능 여부를 점검 등 |
| 점검 방법 | 1. 이용자 인증정보 재사용 1) 로그인 후 인증 정상 값 확보 2) 비 인가자로 로그인하여 해당 정상 인증 값 삽입 3) 해당 기능 정상 동작 여부 확인 |
| 항목 | 유추가능한 인증정보 이용 |
| 대상 | 권한 기능 대상 |
| 항목 설명 | o 비인가자에 의한 인증정보 유추에 대응하기 위해, 인증정보(로그인 비밀번호, 계좌원장 비밀번호, PIN번호 등)의 등록 또는 변경 시 해당 값의 적절성 및 복잡성을 점검 |
| 점검 기준 | - 이용자의 주민등록번호, 전화번호 등과 같이 쉽게 유추 가능한 개인 신상정보를 이용한 인증정보 사용 가능 여부를 점검 - 연속숫자, 연속문자, 동일숫자, 이름 등과 같이 제 3자가 비밀번호를 쉽게 유추할 수 있는 인증정보 사용 가능 여부를 점검 - 복잡도를 준수하지 않는 비밀번호를 등록 및 변경 가능 여부를 점검 등 ※ 비밀번호 복잡도 : 영문 대문자, 영문 소문자, 숫자, 특수문자 2개 조합시 10자리 이상, 3개 조합시 8자리 이상 (사이트마다 상이 할 수 있음) |
| 점검 방법 | 1. 유추가능한 인증정보 이용 1) 회원가입 및 비밀번호 변경 페이지 접근 2) 1111, 1234, 123456 등의 비밀번호 삽입 3) 비밀번호가 정상적으로 변경되는지 확인 2. 로직 제거를 통한 취약한 패스워드 이용 1) 회원가입 및 비밀번호 변경 페이지 접근 2) Response 값의 검증 로직 제거 3) 1111,1234, 123456 등의 취약 비밀번호 삽입 4) 비밀번호가 정상적으로 변경되는지 확인 3. 클라이언트 요청 위변조를 통한 취약한 패스워드 이용 1) 회원가입 및 비밀번호 변경 페이지 접근 2) 정상 복잡도 패스워드 입력 3) 프록시 도구를 이용해 1111,1234, 123456 등의 취약 비밀번호 삽입 4) 비밀번호가 정상적으로 변경되는지 확인 |
| 항목 | 유추가능한 초기화 비밀번호 이용 |
| 대상 | 권한 기능 대상 |
| 항목 설명 | o 비밀번호 복구 매커니즘(비밀번호 찾기 등) 이용 시 복구된 비밀번호의 고정성 및 규칙성을 통해 타 이용자의 비밀번호 획득, 변경, 복구 등에 대한 가능 여부를 점검 |
| 점검 기준 | - 비밀번호 찾기 또는 복구 메뉴에서 신규 비밀번호 생성 시 패스워드 생성 규칙 점검 - 타인의 비밀번호 초기화 가능 여부 점검 - 앞서 발견한 비밀번호 생성 규칙을 통해 타인의 계정으로 접속 가능 여부 점검 등 |
| 점검 방법 | 1. 초기화 비밀번호 정책 확인 1) 초기 발급받은 로그인 시도 2) 초기 패스워드에 유추가능한 패턴 여부 확인 3) 초기 패스워드가 8자 이하로 발급되는지, 유추 가능한 패스워드인지 확인 A) 취약 예시 : password, test, admin, manager, root, toor, 123456, 000000 |
| 항목 | 유추 가능한 세션 ID |
| 대상 | 권한 기능 대상 |
| 항목 설명 | o 세션ID에 대한 무차별 대입공격에 대응하기 위해, 세션ID에 대한 복잡성을 점검 |
| 점검 기준 | - 세션 ID가 무차별 대입 공격에 용이한 약한 강도 설정 여부 점검 - 세션 ID가 단순히 숫자가 증가하는 등의 규칙성 존재 여부 점검 등 |
| 점검 방법 | 1. 유추 가능한 세션 ID 확인 1) 로그인 2) 세션ID 확인 3) 세션 ID가 유추할 수 있는 패턴으로 설정되어 있는지 확인 (Ex. 날짜, 이름, ID 등의 조합) 2. 세션 복호화 시도 1) 로그인 2) 세션ID 확인 3) 세션 ID를 디코딩과 같은 방법으로 쉽게 위변조 가능한지 확인 |
| 항목 | 불충분한 이용자 인증 |
| 대상 | 권한 기능 대상 |
| 항목 설명 | o 민감한 데이터 또는 이용자 인증이 필요한 경로에 임의의 이용자가 접근할 수 있으므로 이에 대한 인증절차 존재 여부 및 우회 가능 여부를 점검 |
| 점검 기준 | - 개인정보 및 비밀번호 수정 기능 페이지 접근 전에 본인인증에 대한 재인증 여부 확인 - 인증 절차 후 접근이 가능한 페이지의 URL을 수집하여 인증절차 없이 접근 시도, 클라이언트 스크립트를 통한 접근 제어 시 해당 스크립트를 삭제하여 인증 없이 해당 페이지에 접근 가능 여부 점검 - 플로우 통제 우회 가능 여부 점검 등 * 플로우 통제 : 이용자 인증 시 단계별 인증을 통해 하는 경우 전 단계의 요건을 갖춰야 다음 단계로 진입하도록 된 구조 - ex) step 1. 연락처 작성 > step 2. 주소 작성 > step 3. 개인정보 작성 > step 4. 완료 |
| 점검 방법 | 1. URL 강제 입력 1) 정상 인증 프로세스 진행으로 접근 URL 확보 2) 확보한 접근 URL로 강제접근 시도 3) 별도 인증 과정 없이 프로세스가 수행되는지 확인 2. 검증 로직 제거 1) 정상 인증 프로세스 진행으로 접근 URL 확보 2) 응답 값 내 검증 로직 코드 제거 3) 확보한 접근 URL로 강제접근 시도 4) 별도 인증 과정 없이 프로세스가 수행되는지 확인 3. 패스워드 수정 페이지 접근 1) 패스워드 수정 페이지 접근 시도 2) 패스워드 입력 등 검증 수행 여부 확인 |
| 항목 | 인증 오류 횟수 제한기능 제공 여부 |
| 대상 | 권한 기능 대상 |
| 항목 설명 | o 무작위 대입 공격에 의한 인증 우회, 인증정보 유출 등의 위협에 대응하기 위해, 이용자가 입력하는 인증 요청에 대한 오류 횟수 제한 여부를 점검 |
| 점검 기준 | - 금융회사가 정한 오류횟수 이상으로 오인증 후 해당 계정의 상태(서비스 이용 제한, 인증수단 폐기, 다른 인증방법으로 전환 등)를 확인 - 전자금융거래에 사용되는 비밀번호의 경우 5회 이내의 범위에서 미리 정한 횟수 이상의 비밀번호 입력 오류가 발생할 경우 즉시 사용 금지 필요(전자금융감독규정 제33조 이용자 비밀번호 관리) |
| 점검 방법 | 1. 인증 오류 횟수 제한기능 제공 여부(횟수는 사이트마다 상이할 수 있음) 1) 인증 페이지 접근 2) 인증 5회 실패 시 기능이 제한되는지 여부 확인 2. 제한 로직 제거 (횟수는 사이트마다 상이할 수 있음) 1) 인증 페이지 접근 2) 응답 값 내 인증 로직 코드 제거 3) 인증 5회 실패 시 기능이 제한되는지 여부 확인 3. 인증 오류 횟수 초기화 (횟수는 사이트마다 상이할 수 있음) 1) 인증 페이지 접근 2) 요청 또는 응답 값 내 인증 횟수 카운트 변조 3) 인증 5회 실패 시 기능이 제한되는지 여부 확인 |
| 항목 | 세션정보 재사용 |
| 대상 | 권한 기능 대상 |
| 항목 설명 | o 세션ID, 토큰 등을 절취 후 타 이용자의 이용 환경에서 해당 값을 이용하여 권한이 필요한 페이지에 정상 접근 및 권한 우회 가능 여부를 점검 |
| 점검 기준 | - 로그인 수행 후 해당 세션ID를 획득 후, 별도의 IP 주소를 사용하는 단말에서 사용 시 해당 이용자의 권한으로 서비스 이용 가능 여부를 점검 등 - OAuth, SSO 등에서 사용하는 토큰 정보를 획득 후, 별도의 IP 주소를 사용하는 단말에서 사용 시 해당 이용자의 권한으로 서비스 이용 가능 여부를 점검 등 |
| 점검 방법 | 1. 로그인 세션 재사용 1) 로그인 후 세션 확보 2) 로그아웃 후 해당 세션으로 로그인 가능 여부 확인 2. 토큰 세션 재사용 1) 토큰 값 확보 2) 1회 이용 후 해당 토큰 값으로 기능 동작 여부 확인 |
| 항목 | [전자금융] 접근매체 발급 시 실명확인 수행 여부 |
| 대상 | 결제 기능 대상 (전자결제 대상) |
| 항목 설명 | o 비인가자에 의한 접근매체 무단 발급에 대응하기 위해 접근매체 발급 시 실명확인 수행 여부를 점검 |
| 점검 기준 | - 접근매체 발급 시 실명확인 수행 여부를 점검 ※ 실명확인 수행 방법 - (필수) ① 신분증 사본 제출, ② 영상통화, ③ 접근매체 전달시 확인, ④ 기존계좌 활용, ⑤ 기타 이에 준하는 새로운 방식(생체인증 등) 중 2가지 이상 의무 적용 - (권고) ⑥ 타 기관 신원확인 결과 활용(휴대폰 본인확인 등), ⑦ 다수의 개인정보 검증 ※ 접근매체 : 전자금융거래에 있어서 거래지시를 하거나 이용자 및 거래내용의 진실성과 정확성을 확보하기 위하여 사용되는 수단 또는 정보 |
| 점검 방법 | 1. 실명 확인 절차 여부 확인 1) 접근매체(OTP 등) 발급 2) 신분증 사본 제출, 영상통화, 접근매체 전달시 확인, 기존계좌 화용, 생체인증 중 2가지 이상의 실명확인을 수행하는지 확인 2) 검증 함수 제거 1) 접근매체(OTP 등) 발급 2) 응답 값 내 실명확인 검증 함수 및 검증 로직 제거 3) 우회를 통해 정상적으로 검증 처리 되어 접근매체가 발급되는지 확인 |
| 항목 | 인증수단 소유자 검증 여부 |
| 대상 | 권한 기능 대상 (전자금융 대상) |
| 항목 설명 | o 타 이용자 소유의 인증수단을 이용한 인증 수행 가능 여부를 점검 |
| 점검 기준 | * (평가 예시) - 인증서 사전 등록(등록·변경) 시, 타 이용자 명의의 인증서 등록 후 인증 우회 가능 여부 점검 - 타 이용자 명의의 전화번호 이용 또는 사전 등록하여 인증(SMS, ARS 등) 수행 가능 여부 점검 - 타 이용자 명의의 계좌 번호를 입력하여 계좌 인증 수행 가능 여부 점검 - 타 이용자 명의의 OTP 등록 가능 여부 점검 - 타 이용자의 인증서를 이용한 전자서명 가능 여부 점검 등 |
| 점검 방법 | 1. 인증수단 소유자 검증 1) 인증수단 등록/사용 2) 타 이용자의 인증수단을 이용하여 검증이 정상 처리되는지 확인 2. 프록시 도구를 통해 우회하여 인증 1) 인증 수단 등록/사용 2) Request 파라미터 값, 토큰 값 등의 검증에 사용되는 값을 타 사용자의 값으로 위변조하여 검증이 정상 처리되는지 확인 |
'Information Security > Penetration Testing' 카테고리의 다른 글
| 서버 측 요청 변조 (0) | 2024.06.04 |
|---|---|
| 소프트웨어 및 데이터 무결성 오류 (0) | 2024.06.04 |
| 보안 설정 오류 (4) | 2024.06.02 |
| 인젝션 (0) | 2024.06.01 |
| 암호화 실패 (0) | 2024.05.31 |
공지사항
최근에 올라온 글
최근에 달린 댓글
- Total
- Today
- Yesterday
링크
TAG
- 프리미엄베개
- 사용자권한상승취약점
- SAP
- 전자금융기반시설취약점분석평가
- 링귀스틱럼버잭
- 정보보안기획
- 디렉터리트레버셜
- 점검가이드
- neural compressor
- 점검항목분류
- 취약점분석평가
- 크로스 사이트 스크립트
- 명령어주입
- awssap
- 전자금융취약점분석평가
- 구현기준
- ip전화기
- sw보안약점
- 전자금융기반시설
- RCE
- 항목가이드
- cve
- 언젠가공개하려나
- linguisticlumberjack
- 취약점
- 무선해킹탐지시스템
- 테크노젤
- AWS
- 금취분평
- 접근제어취약점
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
| 29 | 30 |
글 보관함