이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다.
A6 - POODLE Vulnerability
POODLE 공격(Padding Oracle on Downgraded Legacy Encryption)은 SSL 3.0 프로토콜(CVE-2014-3566)의 취약점을 악용합니다. 이 취약점으로 인해 공격자는 SSLv3을 사용하여 암호화된 통신을 도청할 수 있습니다.
SSLv3 및 CBC 암호 모드
SSLv3는 데이터를 암호화/복호화하고 보호하는 프로토콜입니다. 우리의 경우 그는 CBC 암호 모드 체이닝 을 사용합니다. 평문은 암호화 알고리즘(AES, DES, 3DES)과 관련하여 블록으로 나뉘며 길이는 8 또는 16의 배수입니다. 평문이 길이를 채우지 않으면 끝에 패딩을 추가하여 누락된 공간을 완성합니다. 이 readme를 읽으려면 이 암호화 및 암호 해독 이미지를 열 것을 강력히 권합니다.
Nmap
nmap --script ssl-poodle -sV -p 443 [IP]
참고
https://github.com/mpgn/poodle-PoC
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3566
https://www.cisa.gov/uscert/ncas/alerts/TA14-290A
https://www.acunetix.com/blog/web-security-zone/what-is-poodle-attack/
'Code::Security > 비박스(BWAPP)' 카테고리의 다른 글
| 비박스(bWAPP) A7 Missing Functional Level Access Control (기능 수준의 접근 통제 누락) (0) | 2022.09.21 |
|---|---|
| 비박스(bWAPP) A6 Text Files (Accounts) (0) | 2022.09.19 |
| 비박스(bWAPP) A6 HTML5 Web Storage (Secret) (0) | 2022.09.19 |
| 비박스(bWAPP) A6 Heartbleed Vulnerability (0) | 2022.09.19 |
| 비박스(bWAPP) A6 Clear Text HTTP (Credentials) (0) | 2022.09.19 |