#1 Web Hacking (패스워드 마스킹 여부 판단)

 

웹 해킹에 대해서 해보겠다.

 

먼저 여기에 쓰여지는 모든 샘플은 VMWARE을 통한 가상의 웹사이트에서 해킹하는 것이기 때문에

법적 처벌을 받지 않지만. 이글을 읽고 사용하시는 사람들의 경우는

 

VMWARE를 사용하지 않고 실제 웹사이트에 한다면 법적 책임은 전적으로 본인에게 있다는 사실을 인지해야한다.

 

 

일단 웹해킹이란 무엇인가?

웹해킹은 웹사이트가 가지고 있는 취약점에 대해 이용하여 데이터 유출 및 권한을 획득해 무결성을 해치는 행위이다.

즉 대상 웹 사이트를 선정하고 분석하여 취약점을 찾고 이를 이용하여 보안의 3요소인 기밀성, 무결성, 접근성을 해치는 행위를 의미한다.

 

그러기에 웹사이트 관리자는 보안 컨설턴트와 같은 곳에서 컨설턴트를 하며 해킹에 대한 보안을 대비한다.

 

그럼 이곳은 이제 웹사이트에 대한 보안 검사를 하고 이를 어떤 방식으로 해결할지에 대해 확인해보자./

 

 

 

먼저 확인할 부분은 외관이다. 특히 로그인 페이지에 대해 제일 먼저 확인해 보아야한다.

의미없는 문자를 넣거나 혹은 회원가입을 직접 통해 문제가 있는지 확인한다. 

그럼 아래 제일 먼저 확인할 수 있는 문제점에 대해 확인해보자.

 

 

로그인 페이지

우리가 로그인을 할대는 아이디와 패스워드를 입력해 확인해야한다.

이때 아이디는 공개되어도 상관없지만 패스워드의 경우에는 본인 외에는 그 누구도 알면 안되는 부분의 정보이다.

하지만 해당 페이지의 경우에는 패스워드가 확인이 되는 것을 볼 수 있다.

이는 굉장히 위험하다. 물론 로그인을 항상 개인의 프라이버시가 보증되는 집과 같은 곳이면 문제가 없다.

그렇지만 그외의 공공된 장소에서 로그인을 하게 된다면 패스워드라는 주요한 정보가 외부로 유출당할 수 있고

만약 비밀번호를 공유하는 사이트가 있다면 그 사이트까지 취약하게 될 수 있다.

그렇게 된다면 보안의 3요소중 기밀성과 무결성의 큰 위협을 받을 수있다고 사료된다.

취약점 분석

그러면 이를 해결하기 위해서는 어떤 방식을 써야할까

마스킹 방법을 사용하는 것이 좋다고 사료된다. 마스킹 방법은

로그인을 하도록 인터페이스를 제공하는 소스코드에서 보여지는 방식을 password 방식으로 변경하면

해결되는 것을 확인할 수 있다.