- HTTP Strict Tansport Security - Web Browser가 강제로 HTTPS 프로토콜을 사용하여 웹 사이트에 접속하는 기술이다. - 사용자는 HTTP로 접속하는지 HTTPS로 접속하는지 크게 상관하지 않는다. [접속만 되면 끝이니까] - Web Browser의 URL 입력란 옆에 자물쇠가 있는지 없는지 신경쓰지 않을 뿐더러 어려운 항목이기에 당연한 일이다. - 하지만, 보안 측면에서 보자면, HTTP로 접속하는 경우, 평문으로 데이터가 송/수신되기 때문에 민감한 정보가 노출된다. - 이런 이유로, Web Browser에는 강제로 HTTPS 프로토콜을 사용하여 접속하게 끔 리스트를 가지고 있다. - 해당 리스트에 있는 웹 사이트로 접속 시, Web Browser는 HTTPS로 강제..

- HTTP는 평문으로 데이터를 주고 받는 프로토콜이다. - 따라서, 보안에 취약하기 때문에 HTTPS 프로토콜이 개발되었다. - HTTP 의 응용 계층과 TCP 전송 계층 사이에 SSL/TLS 의 보안 계층을 추가하여, HTTP 메시지를 암호화하여 스니핑 공격을 방어한다. - 그렇기 때문에, HTTPS 웹사이트 자체에서 스니핑을 하면 암호화되어 그 내용을 볼 수 없다. - HTTPS로 주고 받는 데이터를 스니핑하기위해서 HTTP로 다운그레이드를 진행하여 평문으로 오가는 데이터를 스니핑 할 수 있다. [HTTPS 웹사이트 우회하여 접속하기] 1. HTTP 다운그레이드 공격 전 상태 - 먼저, 공격 전/후 상태를 확인해본다. - 공격 전은 연결이 보호되고 있음을 보여주고 있다. - 자물쇠를 눌러보면 볼 수..