웹 서버나 애플리케이션에서 SSL/TLS를 사용하여 데이터를 암호화할 때, 잘못된 설정이나 취약점이 발생하면 보안이 취약해질 수 있습니다. 그중에서도 Insecure Client-Initiated Renegotiation(클라이언트가 시작하는 재협상) 취약점은 비교적 흔하게 발견되며 매우 위험할 수 있는 보안 문제입니다. 이 포스팅에서는 해당 취약점을 어떻게 발견할 수 있는지, 그리고 이를 어떻게 조치할 수 있는지 구체적인 예시와 함께 설명하겠습니다.1. Insecure Client-Initiated Renegotiation이란?Client-Initiated Renegotiation는 클라이언트가 SSL/TLS 연결의 보안을 재협상하도록 요청할 수 있는 메커니즘입니다. 일반적으로 이 기능은 클라이언트와 ..

지인을 통해 금보원에 새로운 취약점 몇 개가 추가되었다고 들었는데 처음듣는 부분이 있어서 포스팅한다. 취약점 이름은 Insecure Client-Initiated Renegotiation 이 설정이 미흡하게 되어 있다면 DoS 형태의 공격에 노출될 수 있는 취약점이다. 암호화 통신을 할때, 재협상 제한이 미흡해서 일어나는 취약점. 처음에는 파이썬으로 코딩해서 Burp에 API로 붙이려고 했으나,, 도저히 못짜겠어서 일단 원리파악차 공부했다. 일단 확인 방법은 쉽다 openssl을 통해서 점검하고자 하는 사이트에 붙은 후 명령어를 통해 재협상을 하면 된다. 그에 따른 리턴값이 어떻게 나오냐에 따라 취약 유무를 따질 수 있다. 일단 재협상은 네 가지 종류가 있다. Client-initiated secure ..