이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다.
A6 - BEAST/CRIME/BREACH Attacks
BEAST 공격
TLS(전송 계층 보안) 프로토콜은 SSL(Secure Sockets Layer)의 후속입니다. 둘 다 다른 암호 제품군을 사용하여 웹 브라우저와 웹 서버 간의 통신을 암호화할 수 있는 암호화 프로토콜입니다. 이것은 누군가가 통신을 듣고 기밀 데이터를 훔치는 것을 불가능하게 만듭니다.
공격자는 메시지 가로 채기(man-in-the-middle) 공격 기술을 사용하여 웹 서버와 웹 브라우저 간의 대화에 접근할 수 있습니다. 암호화가 없는 경우 웹 서버와 웹 브라우저 간에 교환되는 모든 정보(암호, 신용 카드 번호 등)에 액세스 할 수 있습니다.
그러나 암호화조차도 약점이 있고 깨질 수 있습니다. BEAST 공격이 바로 이런 경우입니다. 연구원들은 TLS 1.0(및 이전) 암호화가 빠르게 손상되어 공격자가 대화를 들을 수 있는 기회를 제공할 수 있음을 발견했습니다.
서버가 TLS 1.0을 지원하는 경우 공격자는 이것이 클라이언트가 사용할 수 있는 유일한 프로토콜이라고 믿게 만들 수 있습니다. 이를 프로토콜 다운그레이드 공격이라고 합니다. 그런 다음 공격자는 BEAST 공격을 사용하여 도청할 수 있습니다.
참고
https://www.acunetix.com/blog/web-security-zone/what-is-beast-attack/
https://owasp.org/www-project-o-saft/
'Code::Security > 비박스(BWAPP)' 카테고리의 다른 글
| 비박스(bWAPP) A6 Heartbleed Vulnerability (0) | 2022.09.19 |
|---|---|
| 비박스(bWAPP) A6 Clear Text HTTP (Credentials) (0) | 2022.09.19 |
| 비박스(bWAPP) A6 Base64 Encoding (Secret) (0) | 2022.09.15 |
| 비박스(bWAPP) A6 Sensitive Data Exposure (민감 데이터 노출) (0) | 2022.09.15 |
| 비박스(bWAPP) A5 Robots File (0) | 2022.09.15 |