CCIT 네트워크 발표 정보보호학과 평문 사이트와 SSL 사이트, SSL strip과 데이터 변조를 이용한 로그인 취약점

Slides:



Advertisements
Similar presentations
정보의 공유와 보호 정보의 공유와 관리 2. 정보 보호 기술과 지식 재산권.
Advertisements

6-8 / 62 I 정보 과학과 정보 윤리 2. 정보의 윤리적 활용 01 소중한 개인 정보, 어떻게 보호할까.
I. 프로젝트 동기 II. 프로젝트 목표 III. 파일시스템 IV. 암호화 및 복호화 V. 인터페이스 VI. FBR READ/WRITE VII. 프로그램 흐름도 VIII. 미 구현 사항 IX. 프로젝트 기대효과 X. 프로그램 요구사항 및 팀원 역할분담 XI. 시연 XII.
HTTPS Packet Capture Tutorial
Format String Attack! 포맷 스트링 공격 경일대학교 사이버보안학과 학년 남주호.
Secure Coding 이학성.
1. 에이전트 설치 및 인증 방법 아래와 같은 절차에 의해 에이전트 배포 및 설치를 진행하고, 에이전트 로그인성공 이후 에이전트 기능이 활성화되어 개인정보 점검 및 관리가 가능합니다. 에이전트 배포 웹을 통해 에이전트 설치 - 사용자는 지정된 웹에서 에이전트 설치 에이전트.

목차 Contents 무선인터넷용 비밀번호 설정방법 Windows 7 Windows 8 Windows XP MAC OS.
정보 보안 개론과 실습 네트워크 해킹과 보안 3부 해킹 전 정보 획득 Chapter 10. 목록화.
단계 1 : 화면 아이콘 [설정]을 터치 합니다. 단계 2 : [WI-FI]메뉴를 터치 합니다.
기초C언어 제1주 실습 강의 소개, C언어 개요, Cygwin/Eclipse 사용 컴퓨터시뮬레이션학과 2016년 봄학기
검색광고 Search Advertising
김태원 심재일 김상래 강신택. 김태원 심재일 김상래 강신택 인터넷 통신망의 정보를 제공하는 서비스 인터넷의 자원 및 정보는 NIC가 관리 IP주소 또는 도메인으로 정보 검색 이용자 및 통신망 관한 정보를 제공.
SQL Injection Member 최병희, 김상우, 조용준, 유창열.
Android Wi-Fi Manual (Guest용)
SSL - VPN 사용자 가이드 - IT 지원실 네트워크 운영팀 -.
Sep Youn-Hee Han 웹서비스 컴퓨팅 수업을 위한 코딩 환경 준비 Sep Youn-Hee Han
스크립트 SWF 파일 Exploit Drive by Download 분석.
J2ME Install 부산대학교 인공지능 연구실.
발표자 : 손충호 조원 : 유진우, 노유성, 조사랑, 손충호
네트워크 프로그래밍 및 실습.
단계 1 : 화면 아이콘 [설정]을 터치 합니다. 단계 2 : [WI-FI]메뉴를 터치 합니다.
How to export XFile Written by D.M.S.P.
무선 네트워크 해킹과 보안 발표 구조 : 네트워크 기초 -> 무선 기초 -> 보안 기초 -> 해킹 시연 -> 방지 방법 김태욱.
4장. 웹로직 서버상에서의 JDBC와 JTA의 운용
컴퓨터 네트워크 II - 기말고사 토폴로지 발표자료
4-1장. MySQL 제13장.
8장. 원격지 시스템 관리하기.
Communication and Information Systems Lab. 황재철
11장. 포인터 01_ 포인터의 기본 02_ 포인터와 Const.
정보화 사회와 컴퓨터 보안.
SSL-VPN 설치 및 접속 설명서.
P2P시스템에 대해서 (peer to peer)
1. SSLVPN 접속 방법 Internet Explorer 실행(타 브라우저 사용 불가)
TSRM 사용시 PC 기본환경설정 1. 로그인이 안되는 문제해결 1) Windows8 이상일때
Day-04(mon_9.6) Host_PC Router NAT NIC Switch ISP NAT Host Only
2015학년도 PHP 기말 레포트 로그인 홈페이지 제작.
1. SSLVPN 접속 방법 Internet Explorer 실행(타 브라우저 사용 불가)
RMI Messenger 지도 : 김정배 교수님 조봉진.
Wi-Fi 취약점 분석 본 프로젝트는 Wi-Fi 환경에서의 취약점 분석을 위한 프로젝트로 다양한 공격방법을 테스트
Day-27(Tue_10.16) 파일 서비스 설정 AD 가 설치된 환경에서 DHCP 설치 할 경우 권한 자격을 주어야함.
Root passwd 분실, bootblk 복구
8장. spss statistics 20의 데이터 변환
KERBEROS.
1. 인증서버 :일반유선PC( 접속“CA관리” 클릭
Packet sniffing 응용 레벨이 아닌 네트워크 디바이스 레벨에서의 데이타을 얻는 것 네트워크 상의 트래픽을 분석
SSL, Secure Socket Layer
S-Work 2.0 DRM 신규 버전 설치 가이드 SOFTCAMP
중등교원 전보시스템 로그인 오류시 해결 해결방안 * 작성일 2016 년 12 월 15일 * 작성자 광주광역시교육청.
“웹과 모바일을 연동한 평가 간편 시스템” vol
Ping Test.
OpenCV 설정 2.21 만든이 딩딩.
2장. 솔라리스10 설치. 2장. 솔라리스10 설치 Solaris 3. 솔라리스10 설치 후 설정하기 1. 텔넷 ( telnet ) 서비스 사용 SSH ( Secure Shell ) 서비스 사용 FTP ( File Transfer Protocol )서비스 사용 시스템.
3장 JSP프로그래밍의 개요 이장에서 배울 내용 : JSP페이지의 기본적인 개요설명과 JSP페이지의 처리과정 그리고 웹 어플리케이션의 구조에 대해서 학습한다.
01. 분산 파일 시스템의 개요 네트워크에 분산된 파일을 사용자가 쉽게 접근하고 관리할 수 있게 해준다.
함수, 모듈.
1. Vista Wireless LAN 설정하기
Map Designer Solution 소개자료
1. 입력 데이터 ② 대학, 학과: 대학이 존재하지 않을 경우 학과명을 대학에 입력 학과명은 공백으로 유지 (하단 참조)
무선랜 사용자 설명서 (Windows Vista 사용자).
(PC - (모바일 - 경희대학교 안전정보망 매뉴얼 (PC - (모바일 총무관리처.
Wake On Lan 발표자: 김 홍 기 김홍기 조성오
Homework #3 - 페이지 모듈화 및 로그인처리 -
방승욱 여은수 민세훈 해킹.
CHAP 15. 데이터 스토리지.
이 프레젠테이션은 PowerPoint의 새로운 기능에 대해 안내하며, 슬라이드 쇼에서 가장 잘 보입니다
오늘의 강의 제목을 입력하세요 소 속 : 인문대학 국어국문학과 이 름 : 홍길동 교수 1.
XSS 취약점을 이용한 웹메일 해킹
리더 코딩 스토리 디자인 박찬준 이근영 박동현 박나영
Presentation transcript:

CCIT 네트워크 발표 정보보호학과 평문 사이트와 SSL 사이트, SSL strip과 데이터 변조를 이용한 로그인 취약점 강보경 정영호

Contents Ⅰ. 평문 사이트 로그인 Ⅱ. SSL 통신 Ⅲ. SSL Strip + 데이터 변조 Ⅳ. 시연 영상

평문 사이트 로그인

1. 평문 사이트 로그인 P2P 사이트 취약

2. 와이어샤크로 패킷 확인

2. 와이어샤크로 패킷 확인 보안에 취약

SSL 통신

1. SSL 사이트 로그인

사용자가 다음으로 넘어갈 수 있도록 선택할 수 있게 해주고 1. SSL 사이트 로그인 사용자가 다음으로 넘어갈 수 있도록 선택할 수 있게 해주고

SSL 통신이기 때문에 로그인 했을 때의 패킷이 보이지 않는다. 2. 와이어샤크로 패킷 확인 다음으로 넘어가지만 않는다면 SSL 통신이기 때문에 로그인 했을 때의 패킷이 보이지 않는다.

SSL Strip + 데이터 변조

SSL Strip 공격으로 해당 ID(hohohohoho) 와 PW(0505050505)로 네이버에 로그인을 시도한다.

하지만 난독화가 되어있기 때문에 아이디와 패스워드가 보이지 않는다. 2. 와이어샤크로 패킷 확인 하지만 난독화가 되어있기 때문에 아이디와 패스워드가 보이지 않는다.

해당 오브젝트를 분석하기 위해 http로 Export 하여 네이바 폴더에 저장한다. 3. 오브젝트(http) 분석 및 수정 해당 오브젝트를 분석하기 위해 http로 Export 하여 네이바 폴더에 저장한다.

java script 파일을 열어서 코드를 분석해 본다.

encrpytIdPw 함수에 id.value와 pw.value 값을 공백으로 바꿔주는 코드가 확인되었다.

4. 암호화 코드 설명 예를 들어 id=AAA와 pw=BBB를 사용했을 경우 패킷이 id=AAA, pw=BBB이며 그 뒤에 해당 pw가 난독화된 문자가 들어간다. 난독화되기 전의 정보가 패킷 앞에 남아있으므로 해당 함수는 난독화되기 전의 정보인 AAA, BBB를 공백으로 만들어주는 함수이다. 그러므로 해당 부분을 제거해주면 아이디와 패스워드가 공백처리 되지 못하고 그대로 나타나게 된다.

해당 코드를 데이터 변조를 사용하여 주석으로 바꿔준다. (해당코드 무효화) 5. 데이터 변조 해당 코드를 데이터 변조를 사용하여 주석으로 바꿔준다. (해당코드 무효화)

다시 로그인 시, 데이터가 변조 되는 것을 확인

SSL Strip 공격만으로 보이지않던 id, pw가 데이터 변조로 노출되는 것을 와이어 샤크에서 확인됨 6. 와이어 샤크로 패킷 확인 SSL Strip 공격만으로 보이지않던 id, pw가 데이터 변조로 노출되는 것을 와이어 샤크에서 확인됨

7. 시연 영상 https://youtu.be/DoDnSt1Kggk