달력

12

« 2019/12 »

  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31
  •  
  •  
  •  
  •  

   

   

   

w3af

Web Application Attack and Audit Framework

   

http://w3af.org/

   

   

w3af download

https://sourceforge.net/projects/w3af/

   

   

   

andresriancho/w3af

https://github.com/andresriancho/w3af

 

Posted by codedragon codedragon

댓글을 달아 주세요

2015. 1. 15. 14:39

열쇠 원리 Security/Application

 

 

열쇠 원리

 

 

출처

Images.google.com

'Security > Application' 카테고리의 다른 글

WeakPoints - 한국형 버그바운티 사이트  (0) 2016.08.18
w3af - Web Application Attack and Audit Framework  (0) 2016.02.18
열쇠 원리  (0) 2015.01.15
SSLv3 'POODLE' 취약점  (0) 2014.12.21
웹 브라우저 점유율(2013.11 ~ 2014.11)  (0) 2014.11.30
EV-SSL  (0) 2014.11.25
Posted by codedragon codedragon

댓글을 달아 주세요

SSLv3 'POODLE' 취약점

  • CVE-2014-3566  푸들(Poodle, Padding Oracle On Downgraded Legacy Encryption)이라고 명명된 이 취약점은 암호화된 트래픽이 악성노드(ex : 라우터나 컴퓨터)를 통과하고, 클라이언트와 서버 둘 다 취약 프로토콜(SSLv3)로 다운그레이드되어야 성공할 수 있습니다(프로토콜 버전 다운 그레이드 공격).
  • MITM(Man In The Middle) 공격을 통해  암호화 되어서 송수신되는 쿠키정보나 데이터를 추출하여 복호화 할 수 있는 취약점입니다.

   

  • SSLV3의 POODLE 취약점은  블록암호화기법인 CBC모드를 사용하는 경우 발생하는 패딩된 암호블록이 MAC(메시지인증코드)에 의해 보호 되지 않기 때문에 발생합니다.

   

  • 공격자는 이 취약점을 가지고 있지 않은 TLS 버전을 사용하는 클라이언트와 서버의 핸드쉐이킹과정에서 TLS가 지원되지 않는다는 변조된 메시지를 클라이언트에게 전송하여 SSLv3로 다운그레이드 시켜 통신이 연결되도록 합니다.

       

   

   

SSLv3

  • SSLv3는 15년 전에 나왔으며, 좀 더 보안이 강화된 TLS로 대체 되었습니다.
  • 그러나 레거시 제약 때문에(호환성), 대부분의 인터넷 서버는 각 당사자(클라이언드와 서버)가 SSLv3.0만을 지원할 경우에는 강제로 SSLv3로 내려갈 수 있습니다.

   

   

보안대책

  • SSL 3.0과 호환성을 유지하는 시스템을 실행하고 있다면, Signaling Cipher Suite Value (SCSV)을 규정하여 클라이언트와 서버 둘 다 높은 버전의 프로토콜을 지원할 경우, 그 사이의 의도치 않은 프로토콜 다운그레이드를 방지해야 합니다.(아래 링크 참조)
  • 취약점을 제거하기 위해서는 SSL의 상위버전인 TLS 1.0 이상의 버전이 사용해야 하며,  연결을 위한 핸드쉐이크 과정에서 다운그레이드가 되지 않도록 하는 옵션이 보안 장비나  클라이언트 소프트웨어에 설정되도록 해야 합니다.

   

TLS Fallback Signaling Cipher Suite Value (SCSV) for Preventing Protocol Downgrade Attacks

프로토콜 다운그레이드 취약점을 제거하기 위한 설정 가이드

https://tools.ietf.org/html/draft-bmoeller-tls-downgrade-scsv-01

   

   

   

출처:

http://blog.alyac.co.kr/183

http://blog.trendmicro.com/trendlabs-security-intelligence/poodle-vulnerability-puts-online-transactions-at-risk/

'Security > Application' 카테고리의 다른 글

WeakPoints - 한국형 버그바운티 사이트  (0) 2016.08.18
w3af - Web Application Attack and Audit Framework  (0) 2016.02.18
열쇠 원리  (0) 2015.01.15
SSLv3 'POODLE' 취약점  (0) 2014.12.21
웹 브라우저 점유율(2013.11 ~ 2014.11)  (0) 2014.11.30
EV-SSL  (0) 2014.11.25
Posted by codedragon codedragon

댓글을 달아 주세요

 

2013.11 ~ 2014.11

 

2014.11

 

 

http://gs.statcounter.com/#browser-ww-monthly-201311-201410

'Security > Application' 카테고리의 다른 글

WeakPoints - 한국형 버그바운티 사이트  (0) 2016.08.18
w3af - Web Application Attack and Audit Framework  (0) 2016.02.18
열쇠 원리  (0) 2015.01.15
SSLv3 'POODLE' 취약점  (0) 2014.12.21
웹 브라우저 점유율(2013.11 ~ 2014.11)  (0) 2014.11.30
EV-SSL  (0) 2014.11.25
Posted by codedragon codedragon

댓글을 달아 주세요

2014. 11. 25. 00:39

EV-SSL Security/Application

   

EV-SSL 

웹 서비스를 할 때 클라이언트(웹 브라우저)와 서버(웹 서버)의 Data 교환을 안전하게 하기 위해서, SSL을 통한 보안 통신을 한다. 이를 위해서 서비스를 하는 업체에서는 인증기관으로부터 인증을 받은 인증서를 서버에 설치하여 고객들에게 해당 사이트는 믿을 수 있는 사이트다라는 것을 인지시켜 줍니다.

   

기존 인증서발급은 인증기관들의 검증작업이 그렇게 철저하지 못하다. 이런 점을 이용한 사기가 가능하다. 이를 해결하고자 EV-SSL이라는 것 도입하게 되었다.(피싱(Phishing) 공격을 막기 위해서 제안된 기술)

   

   

EV-SSL 인증서

브라우저와 서버간의 암호화 통신 시 사용자들에게 서버의 신뢰성과 안정성을 전달하기 위해 브라우저의 주소 창을 녹색(그린바)으로 변화시키는 SSL 인증서 종류 중 하나이다.

(아이폰, IE7.0이상, Mozilla Firefox 3.0이상, Safari 3.2이상, Google Chrome 모든 버전, Flock, Opera 9.5이상)

   

최초 출시

2007년 VeriSign EV SSL 인증서를 출시

   

지원 현황

  • 전세계적으로 75%이상의 브라우저들이 EV SSL 인증서를 지원하며,
  • 국내에서도 대형 금융, 쇼핑몰, 포털사이트를 필두로 EV SSL 인증서를 사용하는 업체도
  • 조금씩 늘어나고 있는 추세이다.

   

EV SSL 인증서의 장점

  • 특정 웹 사이트가 공인인증기관으로부터 엄격한 심사규정을 통해 실존유무를 검증
  • 개인정보를 입력하는 페이지는 암호화하여 안전하게 전송하는 하고 있다는 것을 웹 사이트 주소 창을 통해 눈으로 직접 확인할 수 있다

   

   

SSL 적용시 단점

  • 웹 주소를 보거나, 웹브라우저 오른쪽 하단의 자물쇠 모양을 보는 것처럼 약간의 부가 지식이 요구됩니다. 하지만 EV 인증서를 발급받은 사이트는 피싱사이트가 아니라는 걸 쉽게 보여줄 수 있습니다.
  • IE7이나 파이어폭스 브라우저를 사용하는 사람이라면 주소창에 표시된 녹색 표시를 확인하면 된다.(교육을 받아 인지 할때만 가능하며 이를 위한 홍보과 교육이 필요하다)

   

   

접속 확인

EV-SSL을 인식하는 브라우저에서 일반사이트, SSL적용사이트, EV인증서 적용사이트에서 웹사이트 접속시 어떻게 되는 지 확인해보자.

   

일반 사이트

   

   

일반 SSL 인증서 적용 사이트

자물쇠만 표시

   

EV-SSL 인증서 적용 사이트

   

   

   

   

해당 사이트를 운영하는 업체명이 자물쇠 아이콘 옆에 출력이 되고 주소창이 녹색으로 변경된다. 이는 인증기관에서 해당 업체에 대한 철저한 검증을 했다는 것을 의미합니다.

   

기술적 검토

EV 인증서는 기존의 X.509 타입과는 다른 형식을 가졌으며, 발급 절차가 매우 까다로운 걸로 알려져 있습니다. Verisign과 같이 유명한 CA(Certificate Authority)들이 사이트를 보증하기 때문에 시간도 많이 걸리고 비용도 상당합니다. 기존의 SSL인증서는 19.99$( \21,763)로 발급되는데, EV 인증서는 995$( \1,083,256)에 발급된다.(매년 새로 발급받아야 한다)

   

고객의 신뢰를 높이기 위해서 EV-SSL인증서를 사용하는 추세입니다.

   

   

   

출처: 

http://en.wikipedia.org/wiki/Extended_Validation_Certificate

http://cabforum.org/Guidelines_v1_2.pdf

   

   

'Security > Application' 카테고리의 다른 글

WeakPoints - 한국형 버그바운티 사이트  (0) 2016.08.18
w3af - Web Application Attack and Audit Framework  (0) 2016.02.18
열쇠 원리  (0) 2015.01.15
SSLv3 'POODLE' 취약점  (0) 2014.12.21
웹 브라우저 점유율(2013.11 ~ 2014.11)  (0) 2014.11.30
EV-SSL  (0) 2014.11.25
Posted by codedragon codedragon

댓글을 달아 주세요