[시큐어코딩 가이드] 2-2-16. 반복된 인증시도 제한 기능 부재
반복된 인증시도 제한 기능 부재 정의 일정 시간 내에 여러 번의 인증 시도 시 계정 잠금 또는 추가 인증 방법 등의 충분한 조치가 수행되지 않는 경우, 공격자는 성공할 법한 계정과 패스워드들을 사전으로 만들고 무차별 대입하여 로그인 성공 및 권한 획득이 가능하다. 안전한 코딩기법 최대 인증시도 횟수를 적절한 횟수로 제한하고 설정된 인증 실패 횟수를 초과할 경우 계정을 잠금하거나 추가적인 인증 과정을 거쳐서 시스템에 접근이 가능하도록 한다. 코드예제 다음은 안전하지 않은 코드예제로, 사용자 로그인 시도에 대한 횟수를 제한하지 않는 코드입니다. 로그인 페이지 {% csrf_token %} 아이디: 패스워드: {{ msg }} #반복된 인증시도 제한 기능 부재(안전X) def get_user_pw(user_i..