1. Insecure Login


plaintext 패스워드가 얼마나 쉽게 sniffing 되는지 볼수 있다login data를 암호화 했을 때 잇점을 이해한다.

 


[해답]

첫번째 단계에서 WebScarab을 사용하여 request를 proxy한다.  텍스트로 전송되는 패스워드를 확인할 수 있다.

 

두번째 단계에서 http를 https로 설정하여 다시 한번 스니핑 한다. 어플리케이션은 TLS(Transport Layer Security) 또는 SSL(Secure Socket Layer)상에서 통신하므로 전송되는 데이터는 암호화 되어서 스니핑이 되지 않는다.

 

TLS는 하이브리드 암호화 프로토콜이다. SHA-1과 MD5를 사용한다.

 

 


OWASP WebGoat: Insecure Communication | Insecure Login 솔루션 비디오 보기  [View | Download]   

Description: Sensitive data should never sent in plaintext! Often applications switch to a secure connection after the authorization. An attacker could just sniff the login and use the gathered information to break into an account. A good webapplication always takes care of encrypting sensitive data. See how easy it is to sniff a password in plaintext. Understand the advantages of encrypting the login data! 
Size: N/A 


블로그 이미지

오픈이지 제로킴

시큐어코딩 교육/컨설팅 전문가 그룹

티스토리 툴바