SSL/TLS Heart Bleed2 SSL/TLS Heart Bleed 1. 개요 1)Open SSL 라이브러리의 하트비트(Heart Beat)확장 모듈 취약점 활용 2)SSL 연결을 매번 재협상하지 않기 위해 상호간 연결 지속신호를 교환(Heart Beat) 3)클라이언트가 Payload 내용과 Payload 길이를 보내면 서버가 응답메세지를 전송 4)서버가 클라이언트의 요청 Payload 내용의 길이를 검증하지 않는 취약점 존재 5)서버의 시스템 메모리 정보가 유출될 수 있는 문제점 존재 2. 공격기법 1)공격자는 짧은 Payload 내용을 최대 Payload 길이 (64KB)로 조작하여 SSL서버로 전송 ex) Heart Beat : |'AB'|64KB| (최대) 2)취약한 버전의 SSL서버는 요청된 하트비트의 최대 Payload길이(64KB)만큼 자신의 시스템 메모리.. 2020. 11. 23. SSL/TLS HeartBleed 1. 개요 - OpenSSL 라이브러리의 하트비트(Heart Beat)확장 모듈 취약점 활용 - SSL연결을 매번 재협상 하지 않기 위해 상호간 연결 지속 신호를 교환(HeartBeat) - 클라이언트가 PayLoad 내용과 PayLoad길이를 보내면 서버가 응답메세지를 전송 - 서버가 클라이언트의 요청 PayLoad 내용의 길이를 검증하지 않는 취약점 존재 - 서버의 시스템 메모리 정보가 유출될 수 있는 문제점 존재 2. 공격기법 - 공격자는 짧은 PayLoad내용을 최대 PayLoad길이(64KB)로 조작하여 SSL서버로 전송 ex. Heart Beat : | 'AB' | 64KB | (최대값) - 취약한 버전의 SSL서버는 요청된 하트비트의 최대 PayLoad길이(64KB)만큼 자신의 시스템 메모리.. 2020. 7. 7. 이전 1 다음