본인은 IT수험서 1위 커뮤니티 카페와 e러닝 동영상 강의 사이트에 대해 ID/PW 평문전송과 심각한 URL 매개변수 취약점을 우연히 발견하여 보안뉴스와 데일리시큐에 제보했었습니다. 와어샤크 패킷과 취약점 화면캡처와 함께 각 캡처에 대해 상세하게 설명을 드렸습니다. 담당 기자가 보충 취재를 한 뒤 4월 6일 16시 28분과 21시 20분에 각각 기사가 등록되었습니다. 보안뉴스에서는 보안전문가 육운수 씨, 데일리시큐에서는 모 보안기업 육운수 씨라고 표기되었습니다.
아이디와 패스워드가 그대로 노출되는 것도 문제이지만, 특히 매개변수 취약점을 통해 로그인을 하지 않아도 타인의 글을 수정하거나 삭제할 수 있으며 공지사항에 관리자를 사칭해 수정 및 파일 업로드가 가능하기 때문에 악성코드 배포할 가능성이 있어서 심각했습니다. 취약점 해결방안까지 권고하였습니다.
해당 사이트 담당자가 취약점에 대해 즉시 검검을 통해서 소스 수정 및 보안강화 조치를 진행한다고 하니 다행입니다. 기사가 나온 링크는 다음과 같습니다.
'개인적 이야기 > Who am I?' 카테고리의 다른 글
| 6월 19일 한국사이버감시단-국방통합데이터센터, 국방 사이버보안 역량 강화 실시 기사 (0) | 2019.12.24 |
|---|---|
| 6월 24일 보안뉴스에 제보한 악성파일 유포 기사 실림 (0) | 2015.06.30 |
| PC사랑 10월호에 실린 내 기사 (0) | 2012.10.08 |
| 저의 마이크로소프트 자격증 사본입니다. (0) | 2009.08.07 |
| 육운수의 발자취 (0) | 2008.11.30 |