# 계정탈취

{% hint style="info" %}
**계정 탈취 및 크리덴셜 스터핑 탐지**

* **크리덴셜 스터핑 공격**은 전체 공격 중 약 80%를 차지합니다.
* **공격자 정보를 상관 분석하여 탐지 및 차단**:
  * 요청 헤더 정보와 본문의 ID 값
  * 서버 응답 상태 값 및 응답 크기
* **PLURA의 세계 특허 기술 적용**

**계정 탈취 탐지 확인**

* **경로**: 보안탐지 > 계정탈취
* **필터**: 보안 > [계정탈취](https://docs.plura.io/ko/function/common/sdetection/takeover)
  {% endhint %}

<figure><img src="https://qubitsec.github.io/docs/images/Manual/common/filter2/security/takeover/1.png" alt=""><figcaption></figcaption></figure>

### 1. 정보 입력 <a href="#id-1" id="id-1"></a>

* **분류**
  * 볼륨 메트릭(고정), 볼륨 메트릭(가변), 크리덴셜 스터핑(고정), 크리덴셜 스터핑(가변)
* **필터명**, **호스트**, **경로**, **메소드**, **로그인 속성**, **시간대**, **동작**, **로그인 성공/실패**, **상태값**, **응답 크기**
  * **호스트**: 관리 > 목록 > 호스트 메뉴에서 등록된 정보 연동
  * **경로**: 로그인 페이지 경로 입력
  * **메소드**: POST, GET 중 선택
  * **로그인 속성**: name 입력
  * **응답 크기**: 상태값과 함께 응답 크기 조건 표기

### 2. 탐지 조건 설정 <a href="#id-2" id="id-2"></a>

* **시도 횟수**, **조건**, **사용 IP 수**&#x20;
  * **시도 횟수**: 설정한 값에 도달 시 탐지 발생

<figure><img src="https://qubitsec.github.io/docs/images/Manual/common/filter2/security/takeover/2.png" alt=""><figcaption></figcaption></figure>

### 참고 사이트 <a href="#id-3" id="id-3"></a>

▶ 크리덴셜 스터핑이란?&#x20;

> <https://owasp.org/www-community/attacks/Credential_stuffing>

크리덴셜 스터핑 필터는지속적인 로그인 시도를 통해 계정 탈취를 시도하는 공격을 탐지하는 보안 필터입니다.

▶ 볼륨 메트릭이란?&#x20;

> <https://www.a10networks.com/blog/understanding-ddos-attacks/>

볼륨 메트릭 필터는대량의 무차별 대입 공격을 탐지하는 필터로, 계정 탈취 방어에 사용됩니다.<br>