CCIT 네트워크 발표 정보보호학과 평문 사이트와 SSL 사이트, SSL strip과 데이터 변조를 이용한 로그인 취약점 강보경 정영호
Contents Ⅰ. 평문 사이트 로그인 Ⅱ. SSL 통신 Ⅲ. SSL Strip + 데이터 변조 Ⅳ. 시연 영상
평문 사이트 로그인
1. 평문 사이트 로그인 P2P 사이트 취약
2. 와이어샤크로 패킷 확인
2. 와이어샤크로 패킷 확인 보안에 취약
SSL 통신
1. SSL 사이트 로그인
사용자가 다음으로 넘어갈 수 있도록 선택할 수 있게 해주고 1. SSL 사이트 로그인 사용자가 다음으로 넘어갈 수 있도록 선택할 수 있게 해주고
SSL 통신이기 때문에 로그인 했을 때의 패킷이 보이지 않는다. 2. 와이어샤크로 패킷 확인 다음으로 넘어가지만 않는다면 SSL 통신이기 때문에 로그인 했을 때의 패킷이 보이지 않는다.
SSL Strip + 데이터 변조
SSL Strip 공격으로 해당 ID(hohohohoho) 와 PW(0505050505)로 네이버에 로그인을 시도한다.
하지만 난독화가 되어있기 때문에 아이디와 패스워드가 보이지 않는다. 2. 와이어샤크로 패킷 확인 하지만 난독화가 되어있기 때문에 아이디와 패스워드가 보이지 않는다.
해당 오브젝트를 분석하기 위해 http로 Export 하여 네이바 폴더에 저장한다. 3. 오브젝트(http) 분석 및 수정 해당 오브젝트를 분석하기 위해 http로 Export 하여 네이바 폴더에 저장한다.
java script 파일을 열어서 코드를 분석해 본다.
encrpytIdPw 함수에 id.value와 pw.value 값을 공백으로 바꿔주는 코드가 확인되었다.
4. 암호화 코드 설명 예를 들어 id=AAA와 pw=BBB를 사용했을 경우 패킷이 id=AAA, pw=BBB이며 그 뒤에 해당 pw가 난독화된 문자가 들어간다. 난독화되기 전의 정보가 패킷 앞에 남아있으므로 해당 함수는 난독화되기 전의 정보인 AAA, BBB를 공백으로 만들어주는 함수이다. 그러므로 해당 부분을 제거해주면 아이디와 패스워드가 공백처리 되지 못하고 그대로 나타나게 된다.
해당 코드를 데이터 변조를 사용하여 주석으로 바꿔준다. (해당코드 무효화) 5. 데이터 변조 해당 코드를 데이터 변조를 사용하여 주석으로 바꿔준다. (해당코드 무효화)
다시 로그인 시, 데이터가 변조 되는 것을 확인
SSL Strip 공격만으로 보이지않던 id, pw가 데이터 변조로 노출되는 것을 와이어 샤크에서 확인됨 6. 와이어 샤크로 패킷 확인 SSL Strip 공격만으로 보이지않던 id, pw가 데이터 변조로 노출되는 것을 와이어 샤크에서 확인됨
7. 시연 영상 https://youtu.be/DoDnSt1Kggk