Heartbleed

2014년 4월 7일 부터 현재까지 이슈가 되었던 OpenSSL 취약점 정리본 ■ Test for SSL heartbeat vulnerability (CVE-2014-0160) 2014/04/07 - Open SSL 취약점서버의 Heartbeat 기능을 우회하여 서버가 다른 사용자와 통신 중인 암호화 되기 전 민감정보를 공격자에게 전달설명 : 클라이언트와 서버가 SSL 인증을 통해 세션을 맺은 후 OpenSSL을 사용중인 서버는 Heartbeat 라는 규약을 통해 세션이 끊어지지 않기 위해 서로 상태를 체크 ex) 1. 클라이언트 hello -> 서버2. 서버 hello -> 클라이언트 : 이때 hello는 클라이언트가 보내온 동일한 문자열로 인증 상세정보 : hello 문자열을 클라이언트에서 서버로 보..