암호화 실패

※ 일반적인 점검 방법이며, 양호/취약 여부는 사이트에 따라 다르게 적용,논의될 수 있습니다.항목고정된 인증정보 이용대상권한 기능 대상항목 설명o SMS 등 이용자 인증을 위해 생성되는 값에 대해 인증정보 탈취 방지를 위해 가변적인 데이터 사용 여부를 점검점검 기준- SMS, ARS 등 이용자 인증 시 매번 동일한 인증코드 생성 여부 점검 등점검 방법1. 세션(쿠키) 인증값 유추1) 로그인 진행2) 발급받은 세션 쿠키 값 분석  A) 평문 여부 확인  B) 인코딩(ex. Base64 등) 값, 암호화 값의 복호화 시도3) 타 계정 및 권한으로 위변조 시도4) 위변조한 계정 및 권한으로 동작 확인 2. SMS, ARS 인증값 유추1) 인증 진행2) 발급받은 인증번호 확인  A) 인증번호 발급시 동일한 인증..
Information Security/Penetration Testing 2024. 5. 31. 17:00
1