민감한 데이터 노출 3

평문 패스워드 노출

A6 Text Files(Accounts)에서 사용자를 등록한다.

Download를 클릭하면 사용자들의 정보가 나온다.

 

Base64 인코딩

Base64 인코딩은 각각 8비트로 구성된 3개의 바이트를 6비트씩 4개로 나누어 변환하는 방식이다. 6비트 단위로 나누어 각 6비트를 10진수로 변환하고 Base64 테이블을 이용하여 변환한다. 디코딩은 반대로 하면된다.

온라인과 버프스위트에 Base64 인코딩, 디코딩 기능이 있다.

A6 Base64 Encoding (Secret)에 접속하자.

참고로 %2F는 URL 인코딩한 값이며 원래는 '/' 문자이다.

이를 버프스위트나 온라인상에서 디코더를 이용하여 값을 구하면 시크릿의 값이 나온다.

 

민감한 데이터 노출 대응 방안

1. HTTPS 프로토콜

HTTPS 프로토콜은 암호화 통신을 수행하기에 데이터들이 암호화되어 전달된다.

2. 웹 스토리지 보호

로컬 스토리지에 민감한 데이터를 저장하지 않는다. 민감한 데이터를 클라이언트로부터 전달받아야 하는 경우, 쿠키를 통해 전달하도록 하고 해당 쿠키에 HttpOnly 플래그를 추가한다. 이로써 자바스크립트로 쿠키에 접근하지 못하게 할 수 있다. XSS 취약점이 발견되어도 데이터를 보호할 수 있다.

3. 검증된 암호화 사용

민감한 데이터는 암호화하여 저장한다. 안전한 암호화 알고리즘을 적용하여 저장하면 데이터가 노출되어도 복호화할 수 없기 때문이다.