취약점 정보1
프록시 서버를 사용한 통신하는 응용 프로그램에 중간자 공격 (MITM)이 가능한 취약점
Ryansecurity
2016. 8. 19. 03:17
728x90
HTTP CONNECT 요청과 HTTP 407 Proxy Authentication Required 응답은 일반 텍스트로 통신하기 때문에 중간자 공격 (man-in-the-middle attack)을받을 수 있습니다. 또한 WebKit을 사용하여 작성된 응용 프로그램은 HTTPS 요청 대상 도메인의 컨텍스트에서 임의의 스크립트를 실행할 수 있습니다.
[영향범위]
- 프록시 서버를 통해 HTTPS 요청을 할 웹 브라우저 및 운영 체제
- WebKit을 사용하여 작성된 응용 프로그램
- 자세한 내용은 [업체 정보] 또는 CERT / CC VU # 905344의 Vendor Information] 란 을 참조하십시오.
[공격기법]
웹 브라우저와 운영 체제에서 프록시 서버를 통해 HTTPS 요청을 보낼 경우 먼저 프록시 서버에 대해 HTTP CONNECT 요청을 보냅니다. HTTP CONNECT 요청 및 프록시 서버로부터의 응답 메시지는 일반 텍스트로 교환되기 때문에 중간자 공격 (man-in-the-middle attack)을받을 수 있습니다.
중간자 공격에서 프록시 서버로부터의 응답 메시지를 수정하여 407 Proxy Authentication Required 메시지를 반환하여 인증 정보를 획득 할 수 있습니다. 또한 WebKit을 사용하여 만든 응용 프로그램의 클라이언트는 프록시 서버에서 응답 메시지를 HTTPS 요청 대상 도메인의 컨텍스트에서 처리하는 중간자 공격은 웹 브라우저에서 임의의 스크립트를 실행할 수 성이 있습니다. 자세한 내용은 FalseCONNECT 의 웹 사이트를 참조하십시오
중간자 공격에서 프록시 서버로부터의 응답 메시지를 수정하여 407 Proxy Authentication Required 메시지를 반환하여 인증 정보를 획득 할 수 있습니다. 또한 WebKit을 사용하여 만든 응용 프로그램의 클라이언트는 프록시 서버에서 응답 메시지를 HTTPS 요청 대상 도메인의 컨텍스트에서 처리하는 중간자 공격은 웹 브라우저에서 임의의 스크립트를 실행할 수 성이 있습니다. 자세한 내용은 FalseCONNECT 의 웹 사이트를 참조하십시오
참고자료
- CERT / CC Vulnerability Note VU # 905344
HTTP CONNECT and 407 Proxy Authentication Required messages are not integrity protected - RFC 7235 - Hypertext Transfer Protocol (HTTP / 1.1) : Authentication
3.2 407 Proxy Authentication Required - FalseCONNECT
728x90