본문 바로가기

보안 취약점/파라메터 변조

ClientSide 암호화, ServerSide 복호화 예제 (Javascript & C#) 웹 개발을 하다보면 중요 정보를 서버쪽에 전송해야 할 일이 생깁니다. 특히 로그인 페이지의 패스워드 같은 경우에는 유출될 경우 큰 보안적 이슈를 야기합니다. 사이트에 SSL을 적용하는 등 다양한 방법이 있지만, 소개해드릴 내용은, Javascript로 암호화된 값을 서버측(C#)에서 복호화하는 방법을 소개시켜드리려고 합니다. 공개키 알고리즘이란? 공개 키 암호 방식(公開 - 暗號 方式, public-key cryptography)은 암호 방식의 한 종류로 사전에 비밀 키를 나눠가지지 않은 사용자들이 안전하게 통신할 수 있도록 한다. 공개 키 암호 방식에서는 공개 키와 비밀 키가 존재하며, 공개 키는 누구나 알 수 있지만 그에 대응하는 비밀 키는 키의 소유자만이 알 수 있어야 한다. 공개 키 암호를 구성하.. 더보기
피들러를 통한 변조 공격 방법 이전 글에서는 피들러 설치 및 설정 방법에 대하여 간략하게 설명드렸습니다. 이번 글에서는 피들러를 통하여 파라메터나 쿠키값을 변조하여 공격하는 방법에 대하여 알아보도록 하겠습니다. 1. 캡쳐해놓은 요청 전문을 변조하여 재 요청하는 방법 1-1. 캡쳐된 요청전문 클릭 -> Inspectors -> Headers -> Raw -> 팝업에서 요청전문 복사 1-2. Composer 탭에서 복사한 전문을 넣고, 쿠키값 및 파라메터등을 변조 한 후 Execute 버튼을 누릅니다. (POST 요청 전문일 경우 Request Body에 FormData를 추가 할 수 있습니다.) 1-3. Execute를 누르면, 변조된 요청값을 통한 Response 결과가 좌측에 표시되게 됩니다. 2. 요청 전문이 서버로 전달되기 이전.. 더보기
피들러 (무료 프록시 툴) 설치 방법 무료로 제공되는 프록시툴이 많이 있지만, 이 중 피들러에 대하여 소개해드리려고 합니다. \피들러를 통하여 클라이언트 => 서버측으로 전달되는 요청 전문을 모니터링 할 수 있으며, 쿠키 값 및 요청 파라메터등을 조작하여 변조 테스트를 진행 할 수 있습니다. 0. 피들러 설치 - 별도의 설치 방법은 생략하며, 다운로드 링크만 제공해드립니다. (설치파일을 실행 후 next만 눌러주세요) 피들러 다운로드 링크 => 클릭 1. 피들러 설정 1-1. https사이트의 요청을 캡쳐 가능하도록 설정하는 방법 Tools -> Teleink Fiddler Options -> HTTPS 탭 -> 붉은색으로 마스킹된 체크박스 모두 선택 -> 피들러 인증서 설치 창이 뜰 경우 인증서 설치 진행 -> OK -> 피들러 닫고 재 .. 더보기