SSL 스트리핑: Difference between revisions

From IT Wiki
(새 문서: 분류:보안 공격분류:보안 ;SSL Striping ;2009년 Moxie Marlinspike가 제안한 공격 방식이며, 중간자공격을 통해 사용자와 서버 사이의 HTTPS 통...)
 
No edit summary
 
Line 14: Line 14:
** 클라이언트에서 HTTPS 강제
** 클라이언트에서 HTTPS 강제
** 사용자가 브라우저에 http 주소를 입력하더라도 https로 자동으로 연결하여 SSL 스트리핑과 같은 MITM 공격을 사전에 방지
** 사용자가 브라우저에 http 주소를 입력하더라도 https로 자동으로 연결하여 SSL 스트리핑과 같은 MITM 공격을 사전에 방지
** HSTS 사용 시 "includeSubDomain" 옵션을 누락하면 서브도메인에서 SSL 스트리핑이 가능한 취약점 발생<ref>2014년 블랙햇 아시아 컨퍼런스, Leonardo Nve Egea의 sslstrip+</ref>

Latest revision as of 00:01, 10 August 2019

SSL Striping
2009년 Moxie Marlinspike가 제안한 공격 방식이며, 중간자공격을 통해 사용자와 서버 사이의 HTTPS 통신을 HTTP로변경해서 비밀번호 등을 탈취하는 공격

공격 절차[edit | edit source]

  1. A 이 가상의 은행 사이트 www.foobarbank.com 에 접속을 요청한다.
  2. 은행 서버(C)는 A에게 HTTPS를 사용하는 로그인 페이지 링크가 포함된 Response를 전송한다
  3. 이때 공격자는 Response를 가로채어 모든 링크 주소를 https에서 http로 변경한 후 A에게 전송한다.
  4. A과 공격자 사이에는 http 통신을 하게 되어 Credential Info가 포함된 Request를 공격자가 볼 수 있게 된다.

대응[edit | edit source]

  • HSTS(Http Strict Transport Security)
    • RFC-6797
    • 클라이언트에서 HTTPS 강제
    • 사용자가 브라우저에 http 주소를 입력하더라도 https로 자동으로 연결하여 SSL 스트리핑과 같은 MITM 공격을 사전에 방지
    • HSTS 사용 시 "includeSubDomain" 옵션을 누락하면 서브도메인에서 SSL 스트리핑이 가능한 취약점 발생[1]
  1. 2014년 블랙햇 아시아 컨퍼런스, Leonardo Nve Egea의 sslstrip+