정의 사용자 로그인 시 항상 일정하게 고정된 세션 ID를 발행할 때 생기는 취약점을 의미한다. 공격 시나리오 고정된 세션 ID가 발행되는 경우 세션 ID를 도용한 비인가자의 접근 및 권한 우회 가능성이 생길 수 있다. 대응 방안 사용자가 로그인할 때마다 예측 불가능한 새로운 세션 ID 생성 로직 구현 새로운 세션 ID 발행 후 기존 세션 ID는 파기 판단 기준 주요정보통신기반시설 양호 : 로그인할 때마다 예측 불가능한 새로운 세션 ID가 발행되고, 기존 세션 ID는 파기될 경우 취약 : 로그인 세션 ID가 고정 사용되거나 새로운 세션 ID가 발행되지만 예측 가능한 패턴으로 발행될 경우 점검 예시 주요정보통신기반시설 로그인 시 세션 ID가 발행되는지 확인하고 로그아웃 후 다시 로그인할 때 예측 불가능한 새..

정의 세션의 만료 기간을 정하지 않거나, 만료기한이 너무 길게 설정됐을 경우 생기는 취약점을 의미한다. 공격 시나리오 악의적인 사용자가 만료되지 않은 세션을 활용하여 불법적인 접근이 가능할 수 있다. 대응 방안 세션 종료 시간 설정 또는 자동 로그아웃 기능 구현(세션 종료 시간은 웹 사이트 또는 기업에 따라 다를 수 있으므로 이에 맞게 적정 시간 설정) 판단 기준 주요정보통신기반시설 양호 : 세션 종료 시간이 설정되어 있는 경우 취약 : 세션 종료 시간이 설정되어 있지 않아 세션 재사용이 가능한 경우 점검 예시 주요정보통신기반시설 인증 후 정상적으로 세션이 발행된 페이지의 리퀘스트를 취득하여 일정 시간이 경과 후에 재전송 시 정상 처리가 되는지 확인 전자금융기반시설 이용자 로그인 후 일정시간 이후 동일 ..

정의 접근제어가 필요한 중요 페이지에 대한 통제수단이 미흡할 때 생기는 취약점을 의미한다. 공격 시나리오 접근 권한이 없는 비인가자가 URL 파라미터 값 변경 등의 방법으로 중요 페이지에 접근하여 민감한 정보 열람 및 변조할 수 있다. 대응 방안 접근제어가 필요한 모든 페이지에 권한검증 로직 구현 판단 기준 주요정보통신기반시설 양호 : 접근제어가 필요한 중요 페이지의 통제수단이 적절하여 비인가자의 접근이 불가능한 경우 취약 : 접근제어가 필요한 중요 페이지의 통제수단이 미흡하여 비인가자의 접근이 가능한 경우 점검 예시 주요정보통신기반시설 비밀 게시글, 개인정보 열람, 비밀번호 변경 등의 페이지에서 타 사용자와의 구분을 ID, 일련번호 등의 단순한 값을 사용하는지 조사 게시글을 구분하는 파라미터 값을 변경..

정의 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정, 삭제, 등록 등)를 특정 웹 사이트에 요청하게 하는 취약점을 의미한다. 공격 시나리오 사용자의 신뢰(인증) 정보 내에서 사용자의 요청을 변조하여 해당 사용자의 권한으로 악의적인 공격을 수행할 수 있다. 대응 방안 사용자 입력 값에 대해 검증 로직 및 필터링 추가 적용 판단 기준 주요정보통신기반시설 양호 : 사용자 입력 값에 대한 검증 및 필터링이 이루어지는 경우 취약 : 사용자 입력 값에 대한 필터링이 이루어지지 않으며, HTML 코드(또는 스크립트)를 입력하여 실행되는 경우 점검 예시 주요정보통신기반시설 웹 사이트 내에 XSS 취약점이 존재하는지 확인 등록 및 변경 등의 데이터 수정 기능의 페이지가 있는지 조사(개인정보, 게시글 등) ..

정의 중요 페이지 접근 시 추가적인 인증 절차가 불충분한 경우 생기는 취약점을 의미한다. 주로 사용자 개인정보가 출력되는 페이지나 개인정보 변경 페이지에 접근 시 해당된다. 공격 시나리오 중요정보 페이지에 대한 인증 절차가 불충분한 경우 권한이 없는 사용자가 중요정보 페이지에 접근하여 정보를 유출하거나 변조할 수 있다. 대응 방안 중요정보 페이지에 대한 추가 인증 로직 추가 구현 판단 기준 주요정보통신기반시설 양호 : 중요정보 페이지 접근 시 추가 인증을 하는 경우 취약 : 중요정보 페이지 접근에 대한 추가 인증을 하지 않는 경우 점검 예시 주요정보통신기반시설 중요정보(개인정보 변경 등) 페이지 접근 시 재인증 여부 확인 인증 후 페이지에 아이디만을 인증 값으로 하여 변수로 관리되고 있는지 확인 전자금융..

정의 웹 사이트에서 취약한 패스워드로 회원가입이 가능할 경우 공격자는 추측 및 주변 정보를 수집하여 작성한 사전 파일로 대입을 시도하여 사용자 계정을 탈취할 수 있는 취약점을 의미한다. 공격 시나리오 유추가 용이한 계정 및 패스워드의 사용으로 인한 사용자 권한 탈취 위험이 존재한다. 대응 방안 계정 및 비밀번호 복잡도 준수 여부 체크 로직 구현 판단 기준 주요정보통신기반시설 양호 : 관리자 계정 및 패스워드가 유추하기 어려운 값으로 설정되어 있으며, 일정 횟수 이상 인증 실패 시 로그인을 제한하고 있는 경우 취약 : 관리자 계정 및 패스워드가 유추하기 쉬운 값으로 설정되어 있으며, 일정 횟수 이상 인증 실패 시 로그인을 제한하고 있지 않은 경우 점검 예시 주요정보통신기반시설 웹 사이트 로그인 페이지의 로..