HSTS(HTTP Strict Trasport Security)

HTTP Strict Trasport Security는 웹 사이트를 보호하는 웹 보안 정책 매커니즘이다.

 

지원되는 브라우저가 헤더를 수신하면 해당 브라우저는 HTTP로 통신이 전송되는 것을 방지하고 HTTPS를 통해 모든 통신을 전송 하게 된다.  

 

HSTS는 다음과 같은 위협을 해결한다.

 

-사용자 북마크 또는 수동 입력 url 및 중간자 공격 대상

HSTS는 대상 도메인에 대해 HTTP 요청을 HTTPS로 자동 리다이렉션 한다.

 

-HTTPS로 의도된 웹 응용 프로그램이 HTTP링크 및 HTTP를 통한 컨텐츠를 제공 하는 경우

HSTS는 대상 도메인에 대해 HTTP 요청을 HTTPS로 자동 리디렉션한다.

 

-MITM (Man-in-the-Middle) 공격자가 잘못된 인증서를 사용하여 대상 사용자의 트래픽을 가로 채려고 시도하고 사용자가 잘못된 인증서를 수락하는 경우

HSTS는 사용자가 유효하지 않은 인증서 메시지를 무시하도록 허용하지 않는다.

 

취약점

사이트 소유자는 HSTS를 사용하여 쿠키가 없는 사용자를 식별 할 수 있지만 이는 개인 정보 유출로 이어 질 수 있다.

includeSubDomains 옵션을 생략하면 하위도메인에서 쿠키를 조작 할 수 있게 되며 HSTS가 하위 도메인에 유효한 인증서를 요구하여 쿠키 관련 공격이 허용된다.

 

대응방안

모든 쿠키에  secure 플래그를 설정하면 동일한 공격을 방지 할 수 있다.

 

브라우저에서 쿠키는 기본적으로 HTTP, HTTPS 프로토콜에 관계없이 서버에 전달된다. 이 경우 HTTP 요청시 외부의 공격자에게 쿠키 정보를 탈취당할 수 있다. secure를 명시하면 HTTPS 프로토콜일 경우에만 쿠키를 전달하여 외부의 공격자로부터 쿠키 정보를 보호할 수 있다.

Set-Cookie: name=value; secure

 

Cooike 설정에 관한 추가적인 정보는 해당 포스팅을 이용하면 된다.

https://blog.ravidusash.kr/121

Cookie Secure& HTTP Only setting