CRIME

CRIME(Compression Ratio Info-leak Made Easy)은 데이터 압축을 사용하는 HTTPS와 SPDY 프로토콜을 사용하는 연결을 통해 기밀 HTTP 쿠키에 대항한 취약점이다.^[1] 기밀 HTTP 쿠키의 내용 복원을 사용할 때 공격자는 인증된 웹 세션에 대한 세션 하이재킹을 수행할 수 있게 함으로써 추가 공격의 수행을 허용한다. CRIME은 CVE-2012-4929로 할당되었다.^[2]

BREACH[원본 편집]

2013년 8월 블랙햇 콘퍼런스에서 연구자 Gluck, Harris, Prado는 BREACH(Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext)라는 이름의 HTTP 압축에 대한 CRIME 취약점을 발표하였다. 네트워크 트래픽 감소를 위해 웹서버가 사용하는 내장된 HTTP 데이터 압축을 공격함으로써 HTTPS 기밀 정보를 들추어낸다.^[3]

각주[원본 편집]

↑ Fisher, Dennis (2012년 9월 13일). “CRIME Attack Uses Compression Ratio of TLS Requests as Side Channel to Hijack Secure Sessions”. ThreatPost. 2012년 9월 13일에 확인함.
↑ “CVE-2012-4929”. en:Mitre Corporation.
↑ Goodin, Dan (2013년 8월 1일). “Gone in 30 seconds: New attack plucks secrets from HTTPS-protected pages”.

[fisher2012-09-13-1] Fisher, Dennis (2012년 9월 13일). “CRIME Attack Uses Compression Ratio of TLS Requests as Side Channel to Hijack Secure Sessions”. ThreatPost. 2012년 9월 13일에 확인함.

[2] “CVE-2012-4929”. en:Mitre Corporation.

[3] Goodin, Dan (2013년 8월 1일). “Gone in 30 seconds: New attack plucks secrets from HTTPS-protected pages”.

[1]

[2]

[3]