1. 인증 및 인가 서비스 Cognito01 개요AWS Cognito - 웹 및 모바일 앱에 대해 인증, 권한 부여 및 사용자 관리 제공- 사용자는 로그인하기 위해 아이디/비밀번호 또는 Google, Facebook 등의 권한 부여자를 통해 로그인02. 취약점 발생 원리비밀번호 오류 횟수 제한- 비밀번호 오류 횟수 제한 로직이 존재하지 않아 무작위대입 공격을 통해 타 사용자 비밀번호 획득 가능한 취약점- 금융위원고시 전자금융감독규정 - 비밀번호 5회 실패 시 계정을 잠그고 비밀번호 재부여 또는 초기화 지시- Cognito는 임시 잠금 기능을 통해 일부 대응참 고로그인 시도의 실패는 5회까지 허용되며 그 후의 각 실패에 대해서는 1초부터 시작하여 약 15분까지 두 배씩 기하급수적으로 증가한 시간만큼 임시 ..
