달력

12

« 2019/12 »

  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31
  •  
  •  
  •  
  •  

'호환성'에 해당되는 글 3

  1. SSLv3 'POODLE' 취약점
  2. CSS 개요
  3. 웹표준

SSLv3 'POODLE' 취약점

  • CVE-2014-3566  푸들(Poodle, Padding Oracle On Downgraded Legacy Encryption)이라고 명명된 이 취약점은 암호화된 트래픽이 악성노드(ex : 라우터나 컴퓨터)를 통과하고, 클라이언트와 서버 둘 다 취약 프로토콜(SSLv3)로 다운그레이드되어야 성공할 수 있습니다(프로토콜 버전 다운 그레이드 공격).
  • MITM(Man In The Middle) 공격을 통해  암호화 되어서 송수신되는 쿠키정보나 데이터를 추출하여 복호화 할 수 있는 취약점입니다.

   

  • SSLV3의 POODLE 취약점은  블록암호화기법인 CBC모드를 사용하는 경우 발생하는 패딩된 암호블록이 MAC(메시지인증코드)에 의해 보호 되지 않기 때문에 발생합니다.

   

  • 공격자는 이 취약점을 가지고 있지 않은 TLS 버전을 사용하는 클라이언트와 서버의 핸드쉐이킹과정에서 TLS가 지원되지 않는다는 변조된 메시지를 클라이언트에게 전송하여 SSLv3로 다운그레이드 시켜 통신이 연결되도록 합니다.

       

   

   

SSLv3

  • SSLv3는 15년 전에 나왔으며, 좀 더 보안이 강화된 TLS로 대체 되었습니다.
  • 그러나 레거시 제약 때문에(호환성), 대부분의 인터넷 서버는 각 당사자(클라이언드와 서버)가 SSLv3.0만을 지원할 경우에는 강제로 SSLv3로 내려갈 수 있습니다.

   

   

보안대책

  • SSL 3.0과 호환성을 유지하는 시스템을 실행하고 있다면, Signaling Cipher Suite Value (SCSV)을 규정하여 클라이언트와 서버 둘 다 높은 버전의 프로토콜을 지원할 경우, 그 사이의 의도치 않은 프로토콜 다운그레이드를 방지해야 합니다.(아래 링크 참조)
  • 취약점을 제거하기 위해서는 SSL의 상위버전인 TLS 1.0 이상의 버전이 사용해야 하며,  연결을 위한 핸드쉐이크 과정에서 다운그레이드가 되지 않도록 하는 옵션이 보안 장비나  클라이언트 소프트웨어에 설정되도록 해야 합니다.

   

TLS Fallback Signaling Cipher Suite Value (SCSV) for Preventing Protocol Downgrade Attacks

프로토콜 다운그레이드 취약점을 제거하기 위한 설정 가이드

https://tools.ietf.org/html/draft-bmoeller-tls-downgrade-scsv-01

   

   

   

출처:

http://blog.alyac.co.kr/183

http://blog.trendmicro.com/trendlabs-security-intelligence/poodle-vulnerability-puts-online-transactions-at-risk/

'Security > Application' 카테고리의 다른 글

WeakPoints - 한국형 버그바운티 사이트  (0) 2016.08.18
w3af - Web Application Attack and Audit Framework  (0) 2016.02.18
열쇠 원리  (0) 2015.01.15
SSLv3 'POODLE' 취약점  (0) 2014.12.21
웹 브라우저 점유율(2013.11 ~ 2014.11)  (0) 2014.11.30
EV-SSL  (0) 2014.11.25
Posted by codedragon codedragon

댓글을 달아 주세요

CSS(Cascading Style Sheets)

  • 기존의 XHTML 한계를 해결하고 홈페이지에 다양하고 새로운 효과를 표현하기 위해 사용
  • 문서의 각 요소를 화면에 표시하기 위해 스타일 규칙을 모아놓은 문서
  • 데이터를 포장하기 위한 포장지 역할

   

   

CSS의 등장 배경

  • HTML의 제약성에서 탈피.
  • 홈페이지 전체에 통일감과 일관성을 유지.
  • 홈페이지 제작 시간을 단축시키고 문서의 용량을 줄임
  • CSS의 표준화 작업과 신기술 및 팁을 제공하는 W3C에서 1996년 CSS레벨1 발표
  • 1998년 CSS레벨2 발표

   

   

W3C-CSS Homepage

http://www.w3.org/Style/CSS/

   

   

CSS의 장점/단점

CSS의 장점

기능 확장성

HTML 기능의 확장 가능

양식 모듈화

흐름이 같은 문서 양식으로 전체 구성 가능

간편성

문서 형식을 손쉽고 다양하게 구성 가능

일관성

사용 환경에 영향 받지 않음

   

CSS의 단점

브라우저의 호환성 문제

   

'Development > HTML, CSS, XML, ...' 카테고리의 다른 글

CSS 용어  (0) 2014.10.03
HTML 기본 구조  (0) 2014.10.01
CSS 개요  (0) 2014.09.25
01.html-Hello World  (0) 2014.09.13
HTML Color Names  (0) 2014.09.05
HTML파일 인코딩 변경하기  (0) 2014.08.27
Posted by codedragon codedragon

댓글을 달아 주세요

웹표준

운영체제나 브라우저에 상관없이 같은 결과를 볼 수 있도록, W3C에서 권고한 표준안에 따라 웹 페이지를 만들어 사용하는 것을 말합니다.

   

웹표준 장점

  • 브라우저 간 호환성 증가
  • 마크업 용량 감소
  • 컨텐츠와 CSS 의 분리
  • 검색엔진에 대한 최적화
  • 웹 접근성 용이 등

   

   

   

* 마크업 언어(markup language)

태그등을 이용해 데이터 구조를 명시하는 언어 형태

   

   

* W3C(World Wide Web Consortium)

W3C는 월드 와이드 웹(www)을 위한 표준을 개발하고 장려하는 기관

http://www.w3.org/

'Development > HTML, CSS, XML, ...' 카테고리의 다른 글

HTML파일 인코딩 변경하기  (0) 2014.08.27
자바스크립트 소스 파일(.js) 생성 방법  (0) 2014.08.20
웹표준  (0) 2014.06.09
HTML5와 CSS3 사용의 장점  (0) 2014.06.05
HTML5 지원 API  (0) 2014.06.05
Tomcat 설정 및 Dynamic Web Project 생성  (0) 2014.06.05
Posted by codedragon codedragon

댓글을 달아 주세요