민감 데이터 노출은 클라이언트와 서버가 통신할 때 SSL 을 사용하여 중요한 정보를 보호하지 않을때 발생하는 취약점

특히 사용자가 민감한 정보를 입력할 때 암호화 저장이 이루어지지 않으면 공격자가 중간에서 정보를 탈취할 수 있다.

또한 데이터 처리와 암호화 저장이 클라이어언트에서 이루어질 경우에도 공격자는 클라이언트 PC를 장악하여 정보 탈취가 가능하므로 데이터 처리와 암호화는 반드시 서버측에서 이루어져야 한다.


Base64 인코딩 복호화 -Secret


Base64는 다른 이진 데이터 변환 규칙과 관계 없이 아스키코드만으로 데이터를 인코딩 하므로 플랫폼 제한 없이 사용할 수 있다.


버프스위트로 HTTP요청을 가로챈 후 쿠키 값을 확인하면 'secret' 이라는 변수가 있는데, secret 변수에는 알 수 없는 문자열이 입력되어 있다


secret 변수의 내용은 Base64 형식으로 인코딩되어 있다.



디코딩할수있는 사이트에 입력한후 힌트의 원문을 출력한다 




대응방안 


원문의 문자열을 길게하고, 좀 더 안전한 해시 함수를 사용하여 보안 위험을 줄이는 것이 좋다



HTTP 페이지 내 평문 데이터


계정 및 비밀번호와 같은 개인정보를 처리하는 페이지에서 네트워크 프로토콜 보안은 필수다


+ Recent posts