안전하지 않은 HTTP 통신

정의
- 애플리케이션과 서버간 데이터 통신을 할 때 HTTP 통신을 사용한다.

영향
- 스니핑/스푸핑 공격을 이용하여 사용자들의 입력값을 패킷 정보에서 탈취할 수 있다.

진단
버프슈트를 이용해 인시큐어뱅크 로그인 과정을 중간에서 보았는데 username과 password과 평문으로 노출되는 것을 알 수 있다.

그림 1-1 중요정보 노출

파라미터 값을 보면 username과 Password가 평문으로 노출되는 것을 확인할 수 있다.

그림 1-2 평문 노출

보내는 사람과 받는 사람의 금액을 입력하고 계좌이체를 시도해 보았다.

그림 1-3 계좌이체

username, password 및 계좌 번호 입금 금액이 평문으로 노출되는 것을 알 수 있다.

그림 1-4 계좌이체 노출

대응방안
- 모든 입력값에 대한 유효성 검증을 서버에서 수행한다. 상태 정보나 민감한 데이터 특히 사용자의 세션정보와 같은 중요한 정보는 반드시 서버에서 검증한다.