HTTPS 보안 및 스푸핑 - 중간 공격자

HTTP는 하이퍼 텍스트 전송 프로토콜의 약자로 인터넷에서 널리 사용됩니다. 다른 웹 사이트에 대한 로그인 자격 증명을 훔치기 위해 데이터 패킷을 스니핑하는 많은 사람들이 없었기 때문에이 프로토콜이 인터넷 로그인 초기에 로그인 자격 증명 등을 요구하는 것은 처음부터 괜찮 았습니다. 사람들이 위험을 감지하면 당신 (클라이언트)과 상호 작용하는 웹 사이트 간의 데이터 교환을 암호화하는 HTTPS (HTTP Secure)가 만들어졌습니다.

읽기 : HTTP와 HTTPS의 차이

몇 년 전까지 만해도 HTTPS는 Moxie라는 사람이 HTTPS를 속임수로 잘못 입증 할 때까지 절대 안전한 것으로 간주되었습니다. 이것은 HTTPS 보안 키를 스푸핑 한 사람이 통신 도중 암호화 된 데이터 패킷을 가로 채서 연결이 여전히 암호화되어 있다고 생각하게하여 이루어졌습니다. 이 기사에서는 HTTPS 스푸핑 에 대해 알아 봅니다. 잘 알려진 회사조차도 여러분을 지켜보고 자신의 활동을 스누핑하는 기술을 사용했습니다. 중간 공격자 를 이해하기 전에 HTTPS 인증서 키에 대해 알아야합니다.이 키는 아무 것도 잘못되지 않았다고 속일 수 있습니다. HTTPS 웹 사이트 인증서 키

웹 사이트에 "피트니스"인증서를 제공하는 특정 인증 기관. "적당"요인을 결정하는 많은 요인이 있습니다: 암호로 고쳐 쓴 연결, 바이러스 자유로운 다운로드 및 몇몇 다른 것. HTTPS는 거래시 데이터가 안전하다는 것을 의미합니다. 주로 HTTPS는 전자 상거래 상점 및 이메일 사이트와 같이 비공개 인 데이터 / 정보가있는 사이트에서 사용됩니다. Facebook 및 Twitter와 같은 소셜 네트워킹 사이트에서도 HTTPS를 사용합니다.

각 인증서에는 해당 웹 사이트에 고유 한 키가 있습니다. 해당 웹 페이지를 마우스 오른쪽 단추로 클릭하고 PAGE INFO (페이지 정보)를 선택하여 웹 사이트의 인증서 키를 볼 수 있습니다. 브라우저에 따라 다른 유형의 대화 상자가 표시됩니다. 인증서와 THUMBPRINT 또는 FINGERPRINT를 찾으십시오. 웹 사이트 인증서의 고유 키가됩니다.

HTTPS 보안 및 스푸핑

HTTPS의 안전성을 다시 생각하면 클라이언트 및 웹 사이트 중간에 제 3자가 스푸핑 할 수 있습니다. 대화를 할 때 사용하는 방법을 Man in Middle라고합니다.

브라우저가 HTTPS로 전송되는 방법은 다음과 같습니다. 로그인 버튼을 클릭하거나 URL을 입력하십시오. 첫 번째 경우에는 HTTPS 페이지로 직접 전송됩니다. 두 번째 경우, URL을 입력 할 때 HTTPS를 입력하지 않으면 DNS가 자동 리디렉션 (302)을 사용하여 HTTPS 페이지로 연결되는 페이지로 변환됩니다.

중간에있는 사람은 HTTPS를 입력 한 경우에도 웹 사이트에 액세스하라는 첫 번째 요청을 잡으십시오. 중동의 사람이 당신의 브라우저가 될 수 있습니다. 오페라 미니와 블랙 베리 브라우저는 처음부터 통신을 포착하고 해독하여 빠른 브라우징을 위해 압축 할 수 있도록 해줍니다. 이 기술은 잘못되었습니다. 제 의견으로는 도청을 용이하게하지만 회사는 아무 것도 기록되지 않는다고 말합니다.

URL을 입력하거나 링크 또는 책갈피를 클릭하면 브라우저에 연결하도록 (좋으면) 웹 사이트의 보안 버전으로 중간에있는 사람은 웹 사이트 인증서가 인증서 발급 기관과 관계없이 동일한 형식을 갖기 때문에 오류로 식별하기 어려운 가짜 인증서를 만듭니다. Middle In Man은 인증서를 스푸핑하고 "브라우저가 이미 신뢰하는 인증 기관"에 대해 확인되는 THUMBPRINT를 만듭니다. 즉, 인증서는 브라우저의 신뢰할 수있는 인증 기관 목록에 추가 된 회사에서 발급 한 것으로 보입니다. 그러면 인증서 키가 유효하고 중간에있는 사람에게 암호화 데이터를 제공합니다. 따라서 Middle in Man은 이제 여러분이 그 연결을 통해 보내는 정보의 암호를 해독 할 수있는 열쇠를 가지고 있습니다. 중간에있는 사람은 웹 사이트에 정보를 보내서 진심으로 그러나 그것을 읽을 수있는 방법으로 반대편에서 일하고 있습니다.

이것은 웹 사이트 HTTPS 스푸핑 및 작동 원리를 설명합니다. 또한 HTTPS가 완전히 안전하지 않음을 나타냅니다. 고도로 숙련 된 컴퓨터 전문가가 아니라면 중간에 남자가 있다는 것을 알려주는 몇 가지 도구가 있습니다. 일반인의 경우 GRC 웹 사이트에서 엄지 손가락을 검색하는 방법을 제공합니다. GRC에서 인증서 THUMBPRINT를 확인한 다음 PAGE INFO를 사용하여 검색 한 인증서와 일치시킬 수 있습니다. 일치하면 괜찮습니다. 그렇지 않다면 중간에 남자가있다.