A6. 민감데이터 노출
Heartbleed Bug
What leaks in practice? We have tested some of our own services from attacker's perspective. We attacked ourselves from outside, without leaving a trace. Without using any privileged information or credentials we were able steal from ourselves the secret k
heartbleed.com
- HeartBleed 취약점은 CVE 2014년 160번째로 등록된 Openssl 라이브러리의 취약점. (CVE-2014-0160)
- 암호화 통신중 메모리의 64KB만큼의 데이터를 평문으로 노출시키는 심각한 취약점
- attack script 링크를 눌러 Python 코드 다운.
- HINT로 8443포트로 연결하여 다운 받은스크립트를 실행해라라는 의미
- 정상적으로 HTTPS의 8443 포트로 접근
- HTTPS같은 암호화된 통신이 평문으로 노출된다는것임
- heartbleed.py 파일 확인하여 사용법
- 기본적인 사용법
- heartbleed.py 코드 실행.
- 실행하면 맨 마지막에 해당 서버는 취약하다고 나옴.
- 암호화통신이 평문으로 노출되는것을 확인할 수 있음.
'WebHacking > bWAPP' 카테고리의 다른 글
| [bWAPP] -A7- Remote & Local File Inclusion (RFI/LFI) (0) | 2022.02.03 |
|---|---|
| [bWAPP] -A7- Directory Traversal - Directories, Files (0) | 2022.02.03 |
| [bWAPP] -A6- Text Files (Accounts) (0) | 2022.02.02 |
| [bWAPP] -A6- HTML5 Web Storage (Secret) (0) | 2022.02.02 |
| [bWAPP] -A6- Base64 Encoding (Secret) (0) | 2022.02.02 |
