Authentication 실습(4) - Username enumeration via account lock (PortSwigger Academy)
Account lock 기능의 로직 결함을 이용해 유효한 username을 식별하고 brute-force로 계정을 탈취하는 공격
SH의 보안 공부
Authentication 실습(3) - Broken Brute-force Protection (PortSwigger Academy)
로그인 실패 카운터 초기화 로직을 이용해 Brute-force 보호를 우회하는 공격 실습
Authentication Vulnerabilities (PortSwigger Academy) - 비밀번호 기반 로그인 (Part 2)
Brute-force 방어 메커니즘의 설계 결함과 Account Locking이 어떻게 공격에 악용될 수 있는지 살펴본다
Authentication 실습(2) - Username enumeration via response (PortSwigger Academy)
로그인 응답 시간 차이를 이용해 유효한 username을 식별하고 brute-force 공격으로 계정을 탈취하는 공격
Authentication 실습(1) - Username enumeration via subtly different responses (PortSwigger Academy)
로그인 실패 메시지의 미묘한 차이를 이용해 유효한 username을 식별하고 brute-force로 계정을 탈취하는 공격