- HTTP는 평문으로 데이터를 주고 받는 프로토콜이다.
- 따라서, 보안에 취약하기 때문에 HTTPS 프로토콜이 개발되었다.
- HTTP 의 응용 계층과 TCP 전송 계층 사이에 SSL/TLS 의 보안 계층을 추가하여, HTTP 메시지를 암호화하여 스니핑 공격을 방어한다.
- 그렇기 때문에, HTTPS 웹사이트 자체에서 스니핑을 하면 암호화되어 그 내용을 볼 수 없다.
- HTTPS로 주고 받는 데이터를 스니핑하기위해서 HTTP로 다운그레이드를 진행하여 평문으로 오가는 데이터를 스니핑 할 수 있다.
[HTTPS 웹사이트 우회하여 접속하기]
1. HTTP 다운그레이드 공격 전 상태
- 먼저, 공격 전/후 상태를 확인해본다.
- 공격 전은 연결이 보호되고 있음을 보여주고 있다.
- 자물쇠를 눌러보면 볼 수 있다.
2. HTTPS 웹사이트 송/수신 데이터 스니핑 준비
- 먼저, caplet를 수정하여, 명령어를 추가한다.
- 아래 링크에서 caplet 사용법을 참고하면 된다.
[Linux] bettercap의 caplet을 이용하여 ARP Spoofing 해보기
set net.sniff.local true
- Local에서 나오는 데이터도 모두 캡쳐하는 명령어
- HTTPS 우회 캐블릿을 사용하면 데이터가 마치 우리 컴퓨터로부터 전송되는 것처럼 보인다.
- 그러한 이유로 bettercap은 입력한 패스워드가 내 컴퓨터에 속한 것이라고 생각하고 이 패스워드를 내 화면에 표시하지 않는다.
- 위의 명령어를 입력하여 다운그레이드할 웹사이트에 전송된 사용자 이름과 패스워드를 볼수 있게 된다.
- 만들어둔 caplet을 실행하여 Spoofing을 시작한다.
- 그리고 hstshijack caplet 또한 시작하여 HTTPS를 HTTP로 다운그레이드할 공격을 마친다.
- hstshijack caplet가 실행되면서 관련 정보가 함께 출력된다.
3. 공격 후 상태 확인하기
- HTTPS로의 접속을 한번 했기 때문에 사용중인 웹브라우저의 설정에 진입하여 캐쉬나 기타 쿠키를 지워주는 것이 좋다.
- 해당 캐쉬나 쿠키에 연결 정보가 담겨 있기 때문이다.
[Chrome] 크롬 인터넷 사용 기록 삭제 및 보안 DNS 끄기
- 위 절차를 마치고 다시 접속해보면, 안전하지 않다는 경고창이 출력된다.
- HTTPS로의 접속을 다운그레이드하여서 HTTP으로 접속했다.
- 실제로, 다운그레이드가 되었는지 확인해본다.
- Login 창에서 임의의 정보를 넣어 접속을 시도한다.
- 당연히 접속은 불가하다.
- bettercap에서 위에서 입력했던 정보가 그대로 출력된다.
- HTTPS 웹사이트를 HTTP로 다운그레이드하여, 입력한 정보가 모두 평문으로 송/수신된 것을 확인할 수 있다.
'IT > ㄴ Post-Connection Attack' 카테고리의 다른 글
[Linux] JavaScript Code Injection 해보기 [bettercap / javascript] (0) | 2023.07.10 |
---|---|
[Linux] HSTS 웹사이트 우회하여 접속하기 [bettercap / hstshijack] (0) | 2023.07.10 |
[Linux] 포트 스캔 툴 zenmap 사용하기 [정보 수집 / 취약점 파악] (0) | 2023.07.07 |
[Linux] bettercap을 GUI로 이용해보기 (0) | 2023.07.07 |
[Network] ARP Spoofing 대응하기 [ MAC 주소 고정 / XARP ] (0) | 2023.07.06 |