egovproperties.java 보안점검 문의
- 작성자 :
- 전*준
- 작성일 :
- 2022-10-20 14:12:10
- 조회수 :
- 652
- 구분 :
- 개발환경 / 3.6
- 진행상태 :
- 완료
Q
byte[] hashedBytes = digest.digest();
이 부분에서 솔트 없이 일방향 해쉬 함수 사용 보안 취약점이 발견되어 문의 드립니다.
어떻게 해결을 할 수 있을까요?
이 부분에서 솔트 없이 일방향 해쉬 함수 사용 보안 취약점이 발견되어 문의 드립니다.
어떻게 해결을 할 수 있을까요?
환경정보
-
- OS 정보 : 윈도우10
- 표준프레임워크 버전 : 3.6.0
- JDK(JRE) 정보 : 1.8.0
- WAS 정보 :
- DB 정보 :
- 기타 환경 정보 :
첨부파일
A
안녕하세요.
표준프레임워크 센터입니다.
솔트 없이 일방향 해쉬 함수 사용 보안 취약점은 아래와 같이 확인 됩니다.
개요 : 패스워드를 저장시 일방향 해시함수의 성질을 이용하여 패스워드의 해시값을 저장한다. 만약 패스 워드를 솔트(Salt)없이 해시하여 저장한다면, 공격자는 레인보우 테이블과 같이 해시값을 미리 계산 하여 패스워드를 찾을 수 있게 된다.
보안대책 : 패스워드를 저장시 패스워드와 솔트를 해시함수에 함께 입력하여 얻은 해시값을 저장한다.
알림마당/관련참고문서를 참조하시면 될 것 같습니다.
https://www.egovframe.go.kr/home/ntt/nttRead.do?pagerOffset=0&searchKey=&searchValue=&menuNo=76&bbsId=171&nttId=1807
감사합니다.
표준프레임워크 센터입니다.
솔트 없이 일방향 해쉬 함수 사용 보안 취약점은 아래와 같이 확인 됩니다.
개요 : 패스워드를 저장시 일방향 해시함수의 성질을 이용하여 패스워드의 해시값을 저장한다. 만약 패스 워드를 솔트(Salt)없이 해시하여 저장한다면, 공격자는 레인보우 테이블과 같이 해시값을 미리 계산 하여 패스워드를 찾을 수 있게 된다.
보안대책 : 패스워드를 저장시 패스워드와 솔트를 해시함수에 함께 입력하여 얻은 해시값을 저장한다.
알림마당/관련참고문서를 참조하시면 될 것 같습니다.
https://www.egovframe.go.kr/home/ntt/nttRead.do?pagerOffset=0&searchKey=&searchValue=&menuNo=76&bbsId=171&nttId=1807
감사합니다.