지인을 통해 금보원에 새로운 취약점 몇 개가 추가되었다고 들었는데 처음듣는 부분이 있어서 포스팅한다. 취약점 이름은 Insecure Client-Initiated Renegotiation 이 설정이 미흡하게 되어 있다면 DoS 형태의 공격에 노출될 수 있는 취약점이다. 암호화 통신을 할때, 재협상 제한이 미흡해서 일어나는 취약점. 처음에는 파이썬으로 코딩해서 Burp에 API로 붙이려고 했으나,, 도저히 못짜겠어서 일단 원리파악차 공부했다. 일단 확인 방법은 쉽다 openssl을 통해서 점검하고자 하는 사이트에 붙은 후 명령어를 통해 재협상을 하면 된다. 그에 따른 리턴값이 어떻게 나오냐에 따라 취약 유무를 따질 수 있다. 일단 재협상은 네 가지 종류가 있다. Client-initiated secure ..