★HeartBleed Attack
○ HeartBleed Atack
- Open SSL의 취약점을 이용하는 공격(취약점 코드 -> CVE-2014-0160)
- OpenSSL 1.0.1 ~ 1.0.1f 버전에서 발생
- Client로부터 전달받은 Payload Length 값을 검사하지 않고 처리함으로써 원래 전달해야 할 정보외에 메모리 내 다른 정보까지 전달하는 취약점
- Length가 5면 5로, 50이면 50으로 전달함
○ Heartbeat 구조
- Heartbeat Requerst의 length/payload값과 Heartbeat Response의 length/payload값이 일치하면 세션이 유지된다 판단
