비암호화 통신 (HTTP)

비암호화 통신 (HTTP)

- HTTP 프로토콜을 이용해 주요 정보를 평문으로 전송하거나, GET 방식을 통해 외부자에게 유출될 수 있는 취약점

 

영향

네트워크 스니핑 또는 중간자 공격을 통해 주요 정보가 제3자에게 노출될 수 있는 취약점

 

위치

데이터베이스 서버

 

진단

Diva 어플리케이션 실행 후 Transport Layer Protection 메뉴에서 정보를 입력하고 전송했다.

그림 1-1 Transport Securit 항목

PC에서 BurpSuite Proxy를 이용해 중간에서 패킷 내용을 확인했다. 그림 1-1에 입력한 민감한 정보 내용이 보이는 것을 알 수 있다. 

그림 1-2 민감정보 노출

대응방안

SSL/TLS 전송 계층을 활용해 정보를 전송한다.
웹뷰 또는 웹킷을 이용한 웹 앱의 경우에도 SSL을 사용한다.
적절한 키 길이를 가진 강력한 암호화를 사용한다.
신뢰할 수 있는 CA 공급자가 서명한 인증서를 사용한다.
SSL/TLS를 적용했다면, 민감한 데이터를 다른 채널을 통해 전송하지 않는다.