식별 & 인증 실패

핵심 개념

OWASP A07: 약한 비밀번호 정책, 세션 고정, 무제한 로그인 시도가 대표 문제입니다. MFA 강제, Rate Limiting, 안전한 세션 관리로 계정 탈취 공격을 방어합니다.

코드 분석

SECURITY📋 코드 (1줄)

STEP·28 / SECURITY / CHAPTER 28 — 인증 실패# 인증 강화 패턴// ❌ 취약: 무제한 로그인 시도 허용app.post('/login', (req, res) => { ... })&nbsp;// ✅ Rate Limiting 적용import rateLimit from 'express-rate-limit'const loginLimiter = rateLimit({  windowMs: 15 * 60 * 1000,  // 15분  max: 5,  // 최대 5회 시도  message: '너무 많은 시도. 15분 후 재시도',})app.post('/login', loginLimiter, loginHandler)&nbsp;// ✅ 비밀번호 해싱const hash = await bcrypt.hash(password, 12)

AI 프롬프트

🤖 AI에게 잘 물어보는 법 — 모델·전략별 프롬프트

Claude

무료: Sonnet 4.6 / Pro $20/mo: Opus 4.6

이 '식별 & 인증 실패' 코드에서
OWASP Top 10 관점의 보안 취약점을 찾고
안전한 코드로 수정해줘.

ChatGPT

무료: GPT-5.5 / Plus $20/mo: GPT-5.5 Pro

'식별 & 인증 실패' 공격 방어 코드를
단계별로 구현해줘.
실전 페이로드 예시도 포함해서.

Gemini

무료: 2.5 Flash / Pro $19.99/mo: 3.1 Pro

이 웹 앱의 '식별 & 인증 실패' 관련 보안 헤더·인증 로직을
전체 분석해서 취약점·우회 가능 케이스·로그 누락을
우선순위 리포트로 만들어줘.

Grok

무료: Grok 4.1 / SuperGrok $30/mo

'식별 & 인증 실패' 취약점이 실제 해킹 사건·CVE에서
얼마나 자주 발견되는지 2026년 기준
솔직한 데이터로 알려줘.

⭐ 이것만 기억하세요

식별 & 인증 실패는 이 3가지만 확실히 잡으세요

1.비밀번호 정책이 느슨하면 무차별 대입(brute force)으로 계정이 탈취됩니다

2.강력한 비밀번호 정책 + 로그인 시도 제한 + MFA(다중 인증) + 계정 잠금이 인증 보안의 기본입니다

3.다음 챕터에서 SSRF 공격의 심화 기법을 배웁니다

💬 이 챕터 질문 보기

SECURITY · CH.32 — 질문하거나 답변을 확인하세요

→

진행도 32 / 84

← 커리큘럼으로 ← 목록으로 (화이트햇 보안)