SSL 스트리핑

IT위키
인쇄용 판은 더 이상 지원되지 않으며 렌더링 오류가 있을 수 있습니다. 브라우저 북마크를 업데이트해 주시고 기본 브라우저 인쇄 기능을 대신 사용해 주십시오.
SSL Striping
2009년 Moxie Marlinspike가 제안한 공격 방식이며, 중간자공격을 통해 사용자와 서버 사이의 HTTPS 통신을 HTTP로변경해서 비밀번호 등을 탈취하는 공격

공격 절차

  1. A 이 가상의 은행 사이트 www.foobarbank.com 에 접속을 요청한다.
  2. 은행 서버(C)는 A에게 HTTPS를 사용하는 로그인 페이지 링크가 포함된 Response를 전송한다
  3. 이때 공격자는 Response를 가로채어 모든 링크 주소를 https에서 http로 변경한 후 A에게 전송한다.
  4. A과 공격자 사이에는 http 통신을 하게 되어 Credential Info가 포함된 Request를 공격자가 볼 수 있게 된다.

대응

  • HSTS(Http Strict Transport Security)
    • RFC-6797
    • 클라이언트에서 HTTPS 강제
    • 사용자가 브라우저에 http 주소를 입력하더라도 https로 자동으로 연결하여 SSL 스트리핑과 같은 MITM 공격을 사전에 방지
    • HSTS 사용 시 "includeSubDomain" 옵션을 누락하면 서브도메인에서 SSL 스트리핑이 가능한 취약점 발생[1]
  1. 2014년 블랙햇 아시아 컨퍼런스, Leonardo Nve Egea의 sslstrip+
원본 주소 "https://itwiki.kr/index.php?title=SSL_스트리핑&oldid=3250"