openssl 취약점1 SSL/TLS HeartBleed 1. 개요 - OpenSSL 라이브러리의 하트비트(Heart Beat)확장 모듈 취약점 활용 - SSL연결을 매번 재협상 하지 않기 위해 상호간 연결 지속 신호를 교환(HeartBeat) - 클라이언트가 PayLoad 내용과 PayLoad길이를 보내면 서버가 응답메세지를 전송 - 서버가 클라이언트의 요청 PayLoad 내용의 길이를 검증하지 않는 취약점 존재 - 서버의 시스템 메모리 정보가 유출될 수 있는 문제점 존재 2. 공격기법 - 공격자는 짧은 PayLoad내용을 최대 PayLoad길이(64KB)로 조작하여 SSL서버로 전송 ex. Heart Beat : | 'AB' | 64KB | (최대값) - 취약한 버전의 SSL서버는 요청된 하트비트의 최대 PayLoad길이(64KB)만큼 자신의 시스템 메모리.. 2020. 7. 7. 이전 1 다음