Base 64 인코딩 복호화, Html 5 웹 저장소, 파일텍스트 중요정보 저장

이번 포스팅은 Base 64 인코딩 복호화, Html 5 웹 저장소, 파일텍스트 중요정보 저장에 대해 해보려고 한다. 조금 말이 복잡해 보이는데 크게 어렵진 않은 내용들이다. 

1. 클라이언트에 암호화하지 않고 서버에 암호화 하는 이유는?

- 클라이언트에서 암호화를 해서 서버로 전송을 하게 되면 클라이언트가 해커인지 사용자인지 분간할 수 없다. 서버에서 암호화를 하기는 하지만 보안상 완벽하다고 말하기는 힘들다.

- 클라이언트에서 암호화하게 되면 중간에 해커가 가로채는 하이재킹공격을 시도할 수 있기 때문에도 되도록이면 서버에서 암호화 할 수 있도록 하는게 좋다.

* 공격 실습

1) Base 64 Encoding(Secret)

일단 Base 64 Encoding(Secret)를 선택하고 보안레벨을 Low로 맞추고 프록시를 잡아주면 secret값이 나온다. 이걸 그대로 복사해준다.

이걸 그대로 Base64 Docoder기에 넣어주면 바로 해독된다는 것을 볼 수 있다.

잠깐 비박스에서 Base64에 대한 코드를 보면 보안레벨이 1,2일땐 sha1으로 비밀번호를 정의한다고 했는데 sha1은 얼마든지 해킹이 가능하기 때문에 사실 이것도 보안이라고 보긴 힘들다. base64 인코드 역시 바로 번역기로 해킹이 가능하기 때문에 안전한 보안이라고 할 수 없다.

medium에 세팅해놓고 프록시를 잡아봤을때도 아까와 별다를게 없어보인다. 이걸 Hash에 넣고 확인해본다.

리눅스에 hash를 실행시켜서 secret문자를 붙여넣어보면 비밀번호가 sha1으로 되어 있음을 알 수 있다.

이 값을 그대로 sha1 디코더에 넣어서 실행시켜 보면 바로 비밀번호가 해킹됐음을 알 수 있다. 여기서 제일 중요한건 웹환경을 구축할 때 민감한 평문데이터들을 local에 저장하면 절대 안된다는 것이다. local에 저장했을시 이렇게 쉽게 해킹되기 때문에 구축할때 주의가 필요하다.

Xss공격으로도 쉽게 security값을 알아낼 수 있다.

물론 보안레벨이 높아짐에 따라 조금씩 좋아지긴 하지만 어쨌든 local에는 평문으로 민감한 데이터를 저장하지 않는게 핵심이다.

2) Html5 web Storage(Secret) 공격

일단 보안레벨을 Low로 맞춰준다.

그리고 text에 이렇게 코드를 삽입해준다.

Xss-Reflected(Get)으로 와서 방금 입력한 코드를 Firstname에  넣어서 실행해보면 이런식으로 나오는데 이 또한 아까와 똑같은 sha1값이 그대로 출력된다는 걸 알 수 있다. Xss공격에 대한 방어가 안되고 있음을 보여주고 있으며 medium, High로 올려봤을땐 전혀 sha1값이 나오진 않았지만 local환경은 항상 유의해야 함을 볼 수 있었다.

3) Text Files(Account) 공격

아이디와 비밀번호를 입력하고 보안레벨은 low로 맞춰준다.

다운로드를 클릭해서보면 사진처럼 bee bug만 나온다.

이번에는 medium으로 맞추고 다운로드를 클릭해본다.

이번에는 알수없는 문자가 나왔지만 hash에 넣어보면 이 역시 sha1이다. 바로 해독기에 넣고 돌리면 비밀번호가 추출된다.

이런식으로 추출이 완료된다. sha1으로 된 비밀번호는 역시 위험하다.

이번에는 보안레벨을 High로 맞춰놓고 다운로드를 해본다.

이번에는 salt까지 추가되었음을 볼 수 있다. Hash 비밀번호를 Hash에서 어떤식으로 되어 있는지 확인해 보도록 하겠다.

아까와는 다른 SHA-256으로 되어 있는데 이렇게 SHA-256으로 되어 있는 비밀번호들은 비교적 많이 안정하다고 평가 받고 있다. 아까 나온 salt 비밀번호와 같이 합쳐줘서 계산해줘야 되기 때문에 해독이 쉽지 않아 이런식으로 되어 있으면 보안등급이 높다고 평가 할 수 있다.

SHA-256을 해독하기 위해 john이라는 툴을 사용해봤는데 해독하기 쉽지 않았다. passwd.txt에 Hash값을 넣고 저장해서 salt값을 같이 넣어서 실행해줬는데 시간도 너무 오래 걸리고 잘 해독되지 않았다. 이처럼 hash값이 SHA-256으로 되어 있으면 안전하다고 평가할 수 있을 것 같다.