SSLStrip for Windows 2011.04.04 http://www.netlab.co.kr.

Slides:



Advertisements
Similar presentations
Symantec DLP 솔루션 1 Symantec DLP 주요기밀 유출 방지 솔루션. Agenda 정보보호 현황 1 Symantec DLP 정보유출 방지 솔루션 2 DRM / DLP비교 3 레퍼런스 및 요약 4 Q&A 5 Symantec DLP 솔루션 2.
Advertisements

1. 브라우저에서 로 관리창으로 접속해서, 서버 인증서를 설치 할 서버를 선택하고 Manage 버튼을 클릭합니다. 2. Security 탭을 선택한 후, 인증서 Trust.
IBM Internal Use Only © 2010 IBM Corporation WebSphere Application Server OJT SAMJOO SYSTEM HYUN JU HEE.
1 ‘ 우리나라의 주요공업 ’ - 정도웅, 주민혁, 안수진, 백경민, 엄다운, 박경찬 -.
SSL (Secure Socket Layer) 중부대학교 정보보호학과 이병천 교수. 웹 보안 구현방법  네트워크 계층에서의 구현방법  특징  IP 계층에 보안 기능을 둠  IP Sec  응용계층의 모든 응용서비스에 보안성 제공  VPN(Virtual Private.
HTTPS Packet Capture Tutorial
Chapter 02. 웹에 대한 이해. Chapter 02. 웹에 대한 이해 웹의 역사 HTTP 웹 애플리케이션 기술.
Smart Media Board 구축 및 운영 제안서
DICOM Security 디지털정보융합학과 심영복.
Domain Name System.
Oozie Web API 기능 테스트 이승엽.
Introduction to Django
VoIP Attack
공부할 내용 조상들이 살던 곳 자연과 잘 어울리는 한옥 지방에 따라 서로 다른 집의 모양 섬 지방의 집
사랑, 데이트와 성적 자율성 :데이트 성폭력!!! 성폭력예방교육 전문강사 / 여성학 전공 신 순 옥.
3 장 인터넷 서비스.
퇴계와 율곡의 사회사상 비교 남 일 재 동서대학교 교수/ 정치학 박사 1. 퇴계 이황과 율곡 이이의 약전(略傳)
Web Service XML Security
암호화 기술(SSL, IPSec) 손재성 권기읍 안복선 최준혁
㈜디아이씨 SSLVPN 협력사 접속방법 2017년 4월.
제목 CHAPTER 09. 정보 보안 선택이 아닌 필수_정보 보안 기술과 정보 윤리.
501. 군인들의 세상 502. 민정 이양과 한일회담 이선용.
암호화 기술 SSL와 IPSec의 개요 및 동작과정
10장. 웹 서비스 공격 (Attacking Web Service)
Secure Socket Layer.
HeartBleed.
1. JSP(Java Server Pages) 소개
Wi-Fi 기반 NATE 서비스 제공 -설명회-
서버의 종류와 기능 환경공학과 권진희.
동호회 구축 제안서 인터넷전문가그룹 4biz.
Web Servers (IIS & Apache)
F5 삭제 및 신규 SSL_VPN 설치 메뉴얼 * 기존 SSL_VPN F5 삭제 ② ① * 신규 SSL_VPN 설치 ② ①
Web Security 모든 HTTP 패킷은 엽서와 같음 SSL/TLS
REPORT DESIGNER5.0 FAQ.
Men In the Middle, Simple but critical issue.
교과목 소개 정보보호.
SSL (Secure Sockets Layers Protocol)
(개정판) 뇌를 자극하는 Red Hat Fedora 리눅스 서버 & 네트워크
Embeded 기초 다지기 2015년 10월 26일 intern Sally
04장 웹 보안: 웹, 그 무한한 가능성과 함께 성장한 해킹
네트워크 보안 3 오 세 종.
WebtoB Key 및 CSR생성 방법 1. 비밀키 및 CSR생성 path/ssl 에서 CSR을 생성한다.
사회복지 법제론 /노인장기요양보험법 문은홍 조소라.
How to Windows Server 2003 김형백 (A+/MCSE/RHCE)
[ 도면뷰잉 관련 인터넷 옵션 설정 확인 및 변경 ]
Fri_11.09 해킹 환경 구축 nvram 바이오에스 vmdk 가상디스크 vmx 가상파일 구성도 vmxf 실제 구성파일
정보보안.
Insurance services such as inquiry and various applications
서브원 SSL VPN 2차인증(구글 OTP) 사용 절차서(Android)
전자서명의 형태 수기서명 디지털서명. 전자서명의 형태 수기서명 디지털서명 전자서명의 필요성.
Wi-Fi 취약점 분석 본 프로젝트는 Wi-Fi 환경에서의 취약점 분석을 위한 프로젝트로 다양한 공격방법을 테스트
XSS (Cross Site Script)
Hanway 그룹웨어 설치 가이드
정치개혁의 가능성 논의 권력구조 개편을 통하여 본 -개헌을 통한 정부형태의 변화를 중심으로 [한국정치론] 윤성이 교수님
KERBEROS.
Internet Computing KUT Youn-Hee Han
Packet sniffing 응용 레벨이 아닌 네트워크 디바이스 레벨에서의 데이타을 얻는 것 네트워크 상의 트래픽을 분석
SSL, Secure Socket Layer
중등교원 전보시스템 로그인 오류시 해결 해결방안 * 작성일 2016 년 12 월 15일 * 작성자 광주광역시교육청.
광고센터 완전정복 매뉴얼 ( ).
이번 시간에는... 지난 시간까지 제 1장을 통해 모바일의 정의와 개념, 시작과 발전, 기술과 서비스 및 그 전략을 살펴봄으로써 모바일 산업에 대한 전반적인 이해를 쌓았습니다. 이번시간 부터는 제 2장 모바일 기술을 통해, 무선 인터넷을 위한 컨텐츠 제작 기술, 네트워크.
노년기 발달 장안대 행정법률과 세류반 정 오 손
태국 문학 욜라다 왓짜니 싸란차나 팟차라와라이 끼따야펀 르앙다우 타니다.
IP-255S 설치 교육자료 101/102에 대한 설명을 시작 하겠습니다.
도덕과 교수-학습 모형 초등특수교육과 나성령.
워밍업 실뭉치 전달게임.
SQL Server Reporting Services Feature
유통경영학과 하성훈 유통경영학과 김병율 기계공학과 배용진
음파성명학 최종욱.
XSS 취약점을 이용한 웹메일 해킹
Presentation transcript:

SSLStrip for Windows 2011.04.04 http://www.netlab.co.kr

Synopsis 본 문서는 SSL Sniffing 기법 중의 하나인 SSL Strip에 대해서 설명을 하고 있습니다. 본 문서에 대한 내용을 교육 & 연구를 위한 용도로만 활용될 수 있습니다. 본 문서에서 사용된 이미지의 일부는 Cisco에서 제공되는 문서(Packet® Icon Library)에서 인용하였습니다. 본 문서의 무단 복제는 법으로 규제되어 있습니다.

SSL Vulnerabilites 지금까지 수많은 해커들에 의해서 SSL 취약점에 대한 많은 내용들이 발표되어져 왔다. 지금까지 공개된 SSL 취약점은 기본 암호화 알고리즘의 취약점이 아니라 외적인 요소(side effect)들에 대한 취약점이다.

SSL Sniff의 기본 Server Victim SSL I can see plain text !!! Attacker는 Victim과 Server의 중간에 위치한다. Attacker는 Packet을 SSL Proxy로 라우팅시켜 준다. SSL Proxy는 2개의 SSL Session을 이용하여 Proxying을 한다. Private Server Public Victim SSL I can see plain text !!! I can see plain text !!! Private Server Private Server Public Victim Public Victim Attacker Attacker SSL Proxy SSL Proxy SSL SSL SSL SSL Private Private Public Public

SSL Sniff 방지 SSL Sniff는 중간에서 SSL certificate의 정보가 바뀌어 지기 때문에 Client 혹은 Server단에서 certificate의 변경을 알 수가 있다. 이를 이용하여 SSL Sniff를 방지할 수 있다. Client Authenticaion, Server Authentication에 대해서 면밀히 검토해 봐야 한다.

HTTPS 차원에서 SSL Sniff의 방지 1. 인증서 날짜가 유효한가? 2. 신뢰된 인증 기관에서 발행했느냐? 3. domain name과 certificate common name이 같은가?

Rogue CA 신뢰된 인증 기관에서 인증하지 않으면 인증서 경고창이 뜬다. Rogue CA 취약점은 MD5 collision 취약점을 이용하여 어떠한 이라도 Rogue CA 가 될 수 있도록 하는 기법을 말한다. 인증서 서명 알고리즘을 MD5를 SHA1으로 바꾸는 것을 권고한다. http://www.win.tue.nl/hashclash/rogue-ca/

허위 인증서 발급 인증 기관에서 관리 보안의 부재로 발생한 사건. 허위 발급된 인증서의 common name : login.live.com, mail.google.com, www.google.com, login.yahoo.com, login.skype.com, addons.mozilla.org, Global Trustee http://www.boannews.com/media/view.asp?idx=25411 http://www.pcworld.com/businesscenter/article/223147/google_skype_y ahoo_targeted_by_rogue_comodo_ssl_certificates.html 본 사건은 SSL 자체의 취약점이 아닌 관리 부재의 취약점

SSLStrip I can see plain text !!! Server Victim HTTP HTTPS Web Client에게는 HTTP 통신을, Web Server에게는 HTTPS 통신을 하게끔 하여 SSL Warning Dialog를 원천적으로 뜨지 않게 하는 기법. http://www.thoughtcrime.org/software/sslstrip/ http://www.youtube.com/watch?v=Rvp0oPluuLE I can see plain text !!! Private Server Public Victim Attacker SSL Proxy HTTP HTTPS Private Public

Raise your hand if you want to be a victim!!! SSLStrip online Demonstration Raise your hand if you want to be a victim!!! http://www.youtube.com/watch?v=41eY9ID1ejQ

How to protect yourself against SSLStrip attack 1. Using "Strict Transport Security" HTTP response header. http://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security 2. Using cipher text algorithm in java script to send critical information such as ID and password. 3. Sending client URL information by using "location.href" java script including schema (http:// or https://) to the web server so that web server could verify that its URL is valid. 4. Using another methods using a platform specific binary module such as ActiveX or other plugin.

SSL can not provide perfect protection in the real world. Conclusion SSL is safe itself !!! SSL can not provide perfect protection in the real world.

Thank you Name 이경문(Gilbert Lee) Nick gilgil 휴대폰 010 – 8칠25 - 8구08 메신저 Google : gilgil1973 at gmail.com Skype : gilgil1973 Nate : gilgil1973 at lycos.co.kr MSN : gilgil1973 at hotmail.com 메일 gilgil1973 at gmail.com gilgil1973 at hanmail.net 홈페이지 http://www.gilgil.co.kr http://www.gilgil.net http://gilgil.springnote.com