9. Security Considerations

이 μ„Ήμ…˜μ€ 개발자, 정보 μ œκ³΅μžμ—κ²Œ 정보λ₯Ό μ œκ³΅ν•˜κΈ° μœ„ν•œ 것이닀. HTTP λ©”μ‹œμ§€μ™€ κ΄€λ ¨λœ μ•Œλ €μ§„ λ³΄μ•ˆ 고렀사항 μ‚¬μš©μž ꡬ문, ꡬ문 뢄석 및 λΌμš°νŒ…. HTTP에 λŒ€ν•œ λ³΄μ•ˆ κ³ λ € 사항 의미둠 및 νŽ˜μ΄λ‘œλ“œλŠ” [RFC7231]μ—μ„œ λ‹€λ£¨μ—ˆλ‹€.

9.1 Establish Authority

HTTPλŠ” κΆŒμœ„ μžˆλŠ” μ‘λ‹΅μ˜ κ°œλ…μ— μ˜μ‘΄ν•œλ‹€. 곡유 μΊμ‹œμ™€ 같이 κΆŒν•œ μ—†λŠ” μ†ŒμŠ€μ˜ 응닡을 μ œκ³΅ν•˜λŠ” 것은 μ„±λŠ₯κ³Ό κ°€μš©μ„±μ„ ν–₯μƒμ‹œν‚€λŠ” 데 μœ μš©ν•˜μ§€λ§Œ, μ†ŒμŠ€κ°€ μ‹ λ’°ν•  수 μžˆκ±°λ‚˜ μ‹ λ’°ν•  수 μ—†λŠ” 응닡을 μ•ˆμ „ν•˜κ²Œ μ‚¬μš©ν•  수 μžˆλŠ” λ²”μœ„κΉŒμ§€λ§Œ μœ μš©ν•˜λ‹€.

DNS λ³΄μ•ˆ ν™•μž₯(DNSSEC, [RFC4033])은 신뒰성을 ν–₯μƒμ‹œν‚€λŠ” ν•œ 가지 방법이닀.

"https" scheme(Section 2.7.2)은 ν˜‘μƒλœ TLS 컀λ„₯μ…˜μ΄ λ³΄μ•ˆλ˜κ³  톡신 μ„œλ²„μ˜ IDκ°€ λŒ€μƒ URI의 κΆŒν•œ ꡬ성 μš”μ†Œμ™€ μΌμΉ˜ν•˜λŠ”μ§€ ν΄λΌμ΄μ–ΈνŠΈκ°€ μ μ ˆν•˜κ²Œ κ²€μ¦ν•˜λŠ” 경우, κΆŒν•œ 확립에 λŒ€ν•œ μ΄λŸ¬ν•œ 잠재적 곡격의 μƒλ‹Ήμˆ˜λ₯Ό 방지할 수 μžˆλ‹€.

9.2 Risks of Intermediaries

LogoDNS μΊμ‹œ μ•…μ„± μΉ¨μž…μ΄λž€ λ¬΄μ—‡μž…λ‹ˆκΉŒ? | DNS μŠ€ν‘Έν•‘ | CloudflareCloudflare

μ‚¬μš©μžλ“€μ€ μ€‘κ°œμžλ“€μ΄ μ€‘κ°œμžλ₯Ό μš΄μ˜ν•˜λŠ” μ‚¬λžŒλ“€λ³΄λ‹€ 더 μ‹ λ’°ν•  수 μ—†λ‹€λŠ” 것을 μ•Œμ•„μ•Ό ν•œλ‹€; HTTP μžμ²΄λŠ” 이 문제λ₯Ό ν•΄κ²°ν•  수 μ—†λ‹€.

9.3 Attacks via Protocol Element Length

HTTPλŠ” λŒ€λΆ€λΆ„ ν…μŠ€νŠΈ, 문자 ꡬ뢄 ν•„λ“œλ₯Ό μ‚¬μš©ν•˜κΈ° λ•Œλ¬Έμ—, νŒŒμ„œλ“€μ€ μ’…μ’… 맀우 κΈ΄(λ˜λŠ” 맀우 느린) 데이터 μŠ€νŠΈλ¦Όμ„ μ „μ†‘ν•˜λŠ” 것에 κΈ°λ°˜ν•œ 곡격에 μ·¨μ•½ν•˜λ‹€.

μˆ˜μ‹ μžλŠ” μš”μ²­ λ©”μ„œλ“œ, 응닡 μƒνƒœ ꡬ문, 헀더 ν•„λ“œ 이름, 숫자 κ°’ 및 λ³Έλ¬Έ 청크λ₯Ό ν¬ν•¨ν•œ 기타 ν”„λ‘œν† μ½œ μš”μ†Œλ₯Ό μ²˜λ¦¬ν•˜λŠ” λ²”μœ„λ₯Ό μ‹ μ€‘ν•˜κ²Œ μ œν•œν•΄μ•Ό ν•œλ‹€. μ΄λŸ¬ν•œ 처리λ₯Ό μ œν•œν•˜μ§€ μ•Šμ„ κ²½ 우 버퍼 μ˜€λ²„ν”Œλ‘œ, μ‚°μˆ  μ˜€λ²„ν”Œλ‘œ λ˜λŠ” denial-of-service 곡격에 λŒ€ν•œ 취약성이 증가할 수 μžˆλ‹€.

9.4 Response Splitting

Response splitting (a.k.a, CRLF injection)은 HTTP λ©”μ‹œμ§€ ν”„λ ˆμž„μ˜ line-based νŠΉμ„±κ³Ό μ˜μ†μ  컀λ„₯μ…˜μ— λŒ€ν•œ 응닡에 λŒ€ν•œ μš”μ²­μ˜ μˆœμ„œ 컀λ„₯μ…˜μ„ μ΄μš©ν•˜λŠ” μ›Ή μ‚¬μš©μ— λŒ€ν•œ λ‹€μ–‘ν•œ 곡격에 μ‚¬μš©λ˜λŠ” 일반적인 κΈ°μˆ μ΄λ‹€[Klein].

9.5 Request Smuggling

Request smuggling([Linhart])은 λ‹€μ–‘ν•œ μˆ˜μ‹ μž κ°„μ˜ ν”„λ‘œν† μ½œ ꡬ문 λΆ„μ„μ˜ 차이λ₯Ό μ΄μš©ν•˜μ—¬ 겉 으둜 λ³΄κΈ°μ—λŠ” λ¬΄ν•΄ν•œ μš”μ²­ λ‚΄μ—μ„œ μΆ”κ°€ μš”μ²­(λ‹€λ₯Έ 경우 정책에 μ˜ν•΄ μ°¨λ‹¨λ˜κ±°λ‚˜ λΉ„ν™œμ„±ν™”λ  수 있음)을 μˆ¨κΈ°λŠ” κΈ°μˆ μ΄λ‹€.

LogoWhat is HTTP request smuggling? Tutorial & Examples | Web Security AcademyWebSecAcademy

9.6 Message Integrity

9.7 Message Confidentiality

HTTPλŠ” λ©”μ‹œμ§€ 기밀성이 ν•„μš”ν•  λ•Œ λ©”μ‹œμ§€ 기밀성을 μ œκ³΅ν•˜κΈ° μœ„ν•΄ 기본적인 전솑 ν”„λ‘œν† μ½œμ— μ˜μ‘΄ν•œλ‹€.

9.8 Privacy of Server Log Information

HTTP 둜그 μ •λ³΄λŠ” 본질적으둜 기밀이며, 취급은 μ’…μ’… 법과 κ·œμ •μ— μ˜ν•΄ μ œν•œλœλ‹€. 둜그 정보 λ₯Ό μ•ˆμ „ν•˜κ²Œ μ €μž₯ν•˜κ³  뢄석을 μœ„ν•΄ μ μ ˆν•œ 지침을 따라야 ν•œλ‹€.

Previous8. IANA ConsiderationsNext10. Acknowledgedments

Last updated

Was this helpful?