1
빠른 질문. SSL은 세션 하이재킹/고정을 완전히 방지합니까? 감사.SSL 및 세션 도용/고정
A
답변
4
호 가로 채기는 이러한 시나리오에서 예를 들어 수행 할 수 있습니다 :
- 해킹 CA 루트 표지판 유효하지 않은 인증서를. 인증서는 man-in-the-middle 공격을 수행하는 데 사용될 수 있습니다.
- 해킹 된 도메인 소유자 전자 메일받은 편지함을 사용하면 해커가 도메인 유효성이 검사 된 인증서를 구매할 수 있습니다.
- 나쁜 키 정책을 사용하면 공격자가 인증서의 개인 키를 확보 할 수 있습니다.
- 클라이언트 컴퓨터를 로컬 공격하면 세션 쿠키 읽기, SSL 트래픽 가로 채기, 시스템 키 체인에 잘못된 CA 루트 인증서 삽입 등의 작업을 시스템에서 볼 수 있습니다.
- 공격자가 서버에 침입하여 트래픽을 가로 채거나, 패킷을 라우팅하거나, 중요한 시스템 파일을 읽는 등 여러 가지 방법으로 사용할 수 있습니다.
- 클라이언트 라이브러리는 SSL 인증서의 유효성을 검사하고 유효하지 않거나 만료 된 인증서로 세션을 거부해야합니다. 그렇지 않으면 일반 텍스트처럼 HTTP 트래픽을 가로 챌 수 있습니다.
- 쿠키를 멀리 보내는 XSS 공격이있을 수 있습니다. 웹 브라우저는 이에 대비하여 보호해야하지만 모든 구성 요소가 예상대로 작동하는지 전혀 알 수 없습니다.
관련 문제
- 1. JBoss에서 SSL 세션 재개
- 2. 안드로이드에 SSL 세션 저장하기
- 3. PHP ssl 세션 ID 받기
- 4. Ruby (Savon) 영구 SSL 세션?
- 5. Android에서의 SSL 세션 재사용 문제 (J2SE 작동)
- 6. 세션 하이재킹 및 PHP
- 7. JSSE SSLEngine을 사용한 SSL 세션 관리
- 8. 서버 2008 IIS 7.5 SSL 세션 문제
- 9. pyOpenSSL 클라이언트가 SSL 세션 다시 시작 사용
- 10. 은 iframe 및 SSL 보안
- 11. 동일한 서버, SSL 및 비 SSL 모두
- 12. Wordpress, SSL 및 admin
- 13. android 및 ssl
- 14. Restler가있는 Node.js 및 SSL
- 15. SSL 및 P12 열기
- 16. pycurl 및 SSL 인증서
- 17. SSL 및 mod_rewrite 오류
- 18. SSL 및 SocketChannel
- 19. Qt, POP3 및 SSL?
- 20. 셀레늄 및 HTTPS/SSL
- 21. FB.Data.query 및 SSL
- 22. Java 및 SSL 인증서
- 23. SSL, Tomcat 및 Grails
- 24. jQuery ajax 및 SSL
- 25. tclsoap 및 ssl
- 26. SSL 및 사용자 인증
- 27. Webservices 클라이언트 및 SSL
- 28. OpenLDAP 및 SSL
- 29. cURL 및 RestClient - SSL
- 30. SSO 및 SSL 인증서
답변 감사합니다. 매우 도움이됩니다. –
공격자가 세션 쿠키가 무엇인지 사용자가 묻는 것을 잊지 말고 사용자가 알려줍니다. –
폭발, 정확합니다. 그러나 세션 쿠키에 대해 이러한 공격을 수행하는 것은 어렵다고 생각합니다. 사람들이 쿠키를 저장하고 올바른 쿠키를 찾도록하는 것보다 사용자 이름과 암호를 묻는 것이 훨씬 쉽습니다. –