CRIME

위키백과, 우리 모두의 백과사전.
둘러보기로 가기 검색하러 가기

CRIME(Compression Ratio Info-leak Made Easy)은 데이터 압축을 사용하는 HTTPSSPDY 프로토콜을 사용하는 연결을 통해 기밀 HTTP 쿠키에 대항한 취약점이다.[1] 기밀 HTTP 쿠키의 내용 복원을 사용할 때 공격자는 인증된 웹 세션에 대한 세션 하이재킹을 수행할 수 있게 함으로써 추가 공격의 수행을 허용한다. CRIME은 CVE-2012-4929로 할당되었다.[2]

BREACH[편집]

2013년 8월 블랙햇 콘퍼런스에서 연구자 Gluck, Harris, Prado는 BREACH(Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext)라는 이름의 HTTP 압축에 대한 CRIME 취약점을 발표하였다. 네트워크 트래픽 감소를 위해 웹서버가 사용하는 내장된 HTTP 데이터 압축을 공격함으로써 HTTPS 기밀 정보를 들추어낸다.[3]

각주[편집]