[웹해킹] CAPTCHA 공격이란?

 

 

 

 

 

CAPTCHA 라는 것은 컴퓨터는 알 수 없는 흘려쓴 글씨나 그림을 이용하여  이를 제대로 인식한다면 사람이라고 판단하는 것이다. 회원가입 이나 비밀번호 변경 등과 같이 사람이 직접 하지 않으면 심각한 문제가 될 수 있을 때 사용 할 수 있다. 또 Brute Force 공격 처럼 프로그램을 이용한 공격에 대응 할 때 아주 효과적이다.
하지만 이를 제대로 구현하지 않게 되면 해커는 이것을 우회하여 공격 할 수 있다.  비밀번호 변경을 예로 다음 그림을 보자.

 

 

 

 

 

비밀번호 변경이 두 단계로 진행된다. 첫 번째 단계에서 CAPTCHA를 이용하여 정말 사람인지 확인한다. 확인이 되고나면 두 번째 단계에서 비밀번호를 변경한다.

그런데 이 과정이 제대로 구현되어 있지 않은 경우 밑의 그림과 같이 해커가 CAPTCHA를 확인한 것 처럼 꾸미고 두 번째 단계만 진행하여 비밀번호를 변경하는 것이 가능하게 된다.