검색 여닫기
검색
메뉴 여닫기
555
262
4
2.2천
noriwiki
둘러보기
대문
최근 바뀜
임의의 문서로
미디어위키 도움말
특수 문서 목록
파일 올리기
환경 설정 메뉴 여닫기
notifications
개인 메뉴 여닫기
로그인하지 않음
지금 편집한다면 당신의 IP 주소가 공개될 수 있습니다.
user-interface-preferences
한국어
개인 도구
로그인
Heartbleed 문서 원본 보기
noriwiki
문서 공유하기
다른 명령
←
Heartbleed
문서 편집 권한이 없습니다. 다음 이유를 확인해주세요:
요청한 명령은 다음 권한을 가진 사용자에게 제한됩니다:
사용자
.
문서의 원본을 보거나 복사할 수 있습니다.
[[분류: 취약점 공격 사례]] == 개요 == [[OpenSSL]]에서 사용하는 HeartBeat는 서버와 클라이언트 사이에 정상적으로 연결이 존재하는지 확인하기 위한 [[프로토콜]]이다. HeartBeat는 주기적으로 클라이언트에서 서버에게 랜덤한 정보를 정보의 길이와 함께 서버에 전송한다. 그후 서버는 그 요청에대한 echo를 보냄으로써 서버가 정상 작동한다는 것을 알려준다. 클라이언트 (사과 2글자) -> 서버 (사과) 이때 이 취약점은 [[Bound check]]를 하지 않은 것에서 이루어진다. 만약 클라이언트가 (사과 10글자) 라고 보내게 되면 서버는 bound check를 하지 않은채 자신의 버퍼 즉 메모리에 가지고 있던 내용까지 함께 지속적으로 요청마다 전송하게 된다. 클라이언트 (사과 10글자) -> 서버 (사과 + 중요한정보의부분) 그러나 이 HeartBeat는 최대 64KB의 메시지만을 전송할 수 있다. 즉 한번에 정보가 leak되지는 않지만 지속적인 공격으로 서버가 가지고 있는 trusted domain의 정보를 가져올 수 있게 되는 것이다. == 참고 == # https://en.wikipedia.org/wiki/Heartbleed
Heartbleed
문서로 돌아갑니다.
