CRIME

CRIME (Compression Ratio Info-leak Made Easy)은 데이터 壓縮 을 使用하는 HTTPS 와 SPDY 프로토콜을 使用하는 連結을 통해 機密 HTTP 쿠키 에 對抗한 脆弱點 이다. ^[1] 機密 HTTP 쿠키 의 內容復元을 使用할 때 攻擊者는 引證된 웹 세션에 對한 세션 하이재킹 을 遂行할 수 있게 함으로써 追加攻擊의 遂行을 許容한다. CRIME은 CVE-2012-4929로 割當되었다. ^[2]

BREACH [ 編輯 ]

2013年 8月 블랙햇 콘퍼런스에서 硏究者 Gluck, Harris, Prado는 BREACH (Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext)라는 이름의 HTTP 壓縮에 對한 CRIME 脆弱點을 發表하였다. 네트워크 트래픽 減少를 위해 웹서버가 使用하는 內藏된 HTTP 데이터 壓縮을 攻擊함으로써 HTTPS 機密情報를 들추어낸다. ^[3]

各州 [ 編輯 ]

↑ Fisher, Dennis (2012年 9月 13日). “CRIME Attack Uses Compression Ratio of TLS Requests as Side Channel to Hijack Secure Sessions” . ThreatPost . 2012年 9月 13日에 確認함 .
↑ “CVE-2012-4929” . en:Mitre Corporation .
↑ Goodin, Dan (2013年 8月 1日). “Gone in 30 seconds: New attack plucks secrets from HTTPS-protected pages” .

[fisher2012-09-13-1] Fisher, Dennis (2012年 9月 13日). “CRIME Attack Uses Compression Ratio of TLS Requests as Side Channel to Hijack Secure Sessions” . ThreatPost . 2012年 9月 13日에 確認함 .

[2] “CVE-2012-4929” . en:Mitre Corporation .

[3] Goodin, Dan (2013年 8月 1日). “Gone in 30 seconds: New attack plucks secrets from HTTPS-protected pages” .

[1]

[2]

[3]