π€μ 보보μ/β€οΈλ λν
[μ 보] HTTPs/TLS Attacksμ΄λ
TwoIceFish
2023. 2. 15. 12:12
HTTPS/TLS νλ‘ν μ½μ μΈν°λ· μμμ λ°μ΄ν°λ₯Ό 보νΈνκΈ° μν΄ μ¬μ©λλ κ°μ₯ 보νΈμ μΈ λ³΄μ νλ‘ν μ½μ λλ€. νμ§λ§ HTTPS/TLS νλ‘ν μ½λ μ¬λ¬ κ°μ§ 곡격μ μ·¨μ½ν©λλ€. λ€μμ HTTPS/TLS νλ‘ν μ½μμ λ°μνλ μΌλΆ μ£Όμ 곡격μ λν μ€λͺ μ λλ€.
- μ€κ°μ 곡격 (Man-in-the-middle attack): μ€κ°μ 곡격μ ν΄μ»€κ° ν΅μ μ€μΈ λ κ°μ²΄ κ°μ μ€κ°μ μν μ μννμ¬ ν΅μ λ΄μ©μ λμ², λ³κ²½, μμ‘°νλ 곡격μ λλ€. μ΄ κ³΅κ²©μ λ°©μ§νκΈ° μν΄, HTTPS/TLS νλ‘ν μ½μμλ μΈμ¦μλ₯Ό μ¬μ©νμ¬ ν΅μ μλλ°©μ μ μμ κ²μ¦ν©λλ€. νμ§λ§ μΈμ¦μμ μ λ’°μ±μ΄ 보μ₯λμ§ μμΌλ©΄ μ€κ°μ 곡격μ μ·¨μ½ν μ μμ΅λλ€.
- SSL Strip: SSL Stripμ HTTPS λμ HTTPλ₯Ό μ¬μ©νλ 곡격μ λλ€. 곡격μλ HTTPS μμ²μ HTTP μμ²μΌλ‘ λ³ννμ¬, νΌν΄μμ μΉ μλ² μ¬μ΄μ ν΅μ λ΄μ©μ λμ²ν μ μμ΅λλ€.
- POODLE Attack: POODLE (Padding Oracle On Downgraded Legacy Encryption) Attackμ SSLv3 νλ‘ν μ½μμ λ°μνλ 곡격μ λλ€. 곡격μλ μνΈνλ HTTPS ν΅μ μ ν΅ν΄ λ°μ΄ν°λ₯Ό λμ²ν μ μμ΅λλ€.
- Heartbleed: Heartbleedλ OpenSSL λΌμ΄λΈλ¬λ¦¬μμ λ°μνλ λ²κ·Έλ‘, ν΄μ»€κ° μλ²μ λ©λͺ¨λ¦¬ λ΄μ©μ μ½μ΄λ€μ΄λ 곡격μ λλ€. μ΄ κ³΅κ²©μΌλ‘ μΈν΄ λΉλ°λ²νΈ, κ°μΈ μ 보 λ±μ λ°μ΄ν°κ° μ μΆλ μ μμ΅λλ€.
- BEAST Attack: BEAST (Browser Exploit Against SSL/TLS) Attackμ SSLv3μ TLS 1.0μμ λ°μνλ 곡격μ λλ€. 곡격μλ HTTPS μμ²μ 볡νΈννμ¬ λ°μ΄ν°λ₯Ό λμ²ν μ μμ΅λλ€.
μμμ μΈκΈν 곡격μ HTTPS/TLS νλ‘ν μ½μμ λ°μνλ μΌλΆ μ£Όμ 곡격μ λν μ€λͺ μ΄λ©°, μ΄μΈμλ λ€μν 곡격 λ°©λ²μ΄ μ‘΄μ¬ν©λλ€. λ°λΌμ, HTTPS/TLS νλ‘ν μ½μ μ¬μ©νλ κ²½μ°μλ 보μμ λν μ§μμ μΈ κ°νκ° νμν©λλ€.