CRIME
다른 뜻에 대해서는 크라임 문서를 참고하십시오.CRIME(Compression Ratio Info-leak Made Easy)은 데이터 압축을 사용하는 HTTPS와 SPDY 프로토콜을 사용하는 연결을 통해 기밀 HTTP 쿠키에 대항한 취약점이다.[1] 기밀 HTTP 쿠키의 내용 복원을 사용할 때 공격자는 인증된 웹 세션에 대한 세션 하이재킹을 수행할 수 있게 함으로써 추가 공격의 수행을 허용한다. CRIME은 CVE-2012-4929로 할당되었다.[2]
BREACH
2013년 8월 블랙햇 콘퍼런스에서 연구자 Gluck, Harris, Prado는 BREACH(Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext)라는 이름의 HTTP 압축에 대한 CRIME 취약점을 발표하였다. 네트워크 트래픽 감소를 위해 웹서버가 사용하는 내장된 HTTP 데이터 압축을 공격함으로써 HTTPS 기밀 정보를 들추어낸다.[3]
각주
- ↑ Fisher, Dennis (2012년 9월 13일). “CRIME Attack Uses Compression Ratio of TLS Requests as Side Channel to Hijack Secure Sessions”. ThreatPost. 2012년 9월 13일에 확인함.
- ↑ “CVE-2012-4929”. en:Mitre Corporation.
- ↑ Goodin, Dan (2013년 8월 1일). “Gone in 30 seconds: New attack plucks secrets from HTTPS-protected pages”.
- v
- t
- e
- 전송 계층 보안 / 보안 소켓 계층 (TLS/SSL)
- 데이터그램 전송 계층 보안 (DTLS) (영문판)
- 서버 네임 인디케이션 (SNI)
- Application-Layer Protocol Negotiation (ALPN) (영문판)
- DNS-based Authentication of Named Entities (DANE) (영문판)
- DNS Certification Authority Authorization (CAA) (영문판)
- HTTPS
- HTTP 스트릭트 트랜스포트 시큐리티 (HSTS)
- HTTP Public Key Pinning (HPKP) (영문판)
- OCSP stapling (영문판)
- 완전 순방향 비밀성 (영문판)
- STARTTLS (영문판)
- Automated Certificate Management Environment (ACME) (영문판)
- 인증 기관 (CA)
- CA/브라우저 포럼 (영문판)
- 인증서 정책 (영문판)
- 인증서 폐기 목록 (CRL)
- Domain-validated certificate (DV) (영문판)
- Extended Validation Certificate (EV) (영문판)
- 온라인 인증서 상태 프로토콜 (OCSP)
- 공개 키 인증서
- 공개 키 암호 방식
- 공개 키 기반 구조 (PKI)
- 루트 인증서
- Self-signed certificate (영문판)
- 미국에서의 암호 기법 수출 규제 (영문판)
- 서버 게이트형 암호 기법 (영문판)
- 인증서 투명성 (영문판)
- Convergence (영문판)
- HTTPS 에브리웨어 (영문판)
- Perspectives Project (영문판)
| 이론 |
|
|---|---|
| 암호 |
|
| 프로토콜 |
|
| 구현체 |
