자격증과 세미나, 프로그램 이야기를 주저없이 써봅니다.

Since 2008. 10.

개인적 이야기/Who am I?

4월 6일 보안뉴스와 데일리시큐에 제보한 보안 취약점 기사 실림

럭키맨 운수 2014. 4. 7. 14:06

 

본인은 IT수험서 1위 커뮤니티 카페와 e러닝 동영상 강의 사이트에 대해 ID/PW 평문전송과 심각한 URL 매개변수 취약점을 우연히 발견하여 보안뉴스와 데일리시큐에 제보했었습니다. 와어샤크 패킷과 취약점 화면캡처와 함께 각 캡처에 대해 상세하게 설명을 드렸습니다. 담당 기자가 보충 취재를 한 뒤 4월 6일 16시 28분과 21시 20분에 각각 기사가 등록되었습니다. 보안뉴스에서는 보안전문가 육운수 씨, 데일리시큐에서는 모 보안기업 육운수 씨라고 표기되었습니다.

 

아이디와 패스워드가 그대로 노출되는 것도 문제이지만, 특히 매개변수 취약점을 통해 로그인을 하지 않아도 타인의 글을 수정하거나 삭제할 수 있으며 공지사항에 관리자를 사칭해 수정 및 파일 업로드가 가능하기 때문에 악성코드 배포할 가능성이 있어서 심각했습니다. 취약점 해결방안까지 권고하였습니다.

 

해당 사이트 담당자가 취약점에 대해 즉시 검검을 통해서 소스 수정 및 보안강화 조치를 진행한다고 하니 다행입니다. 기사가 나온 링크는 다음과 같습니다.

 

보안뉴스: IT 분야 유명 e러닝·커뮤니티 사이트, 취약점 ‘지뢰밭’

데일리시큐: 유명 IT수험서 카페와 e러닝 사이트, 보안 취약점 발견