▲GN⁺ 2024-08-30 | parent | ★ favorite | on: SQL 인젝션을 통한 공항 보안 우회(ian.sh)Hacker News 의견 TSA 시스템이 기본적인 웹 프로그래밍 오류에 취약함 TSA는 문제를 해결하기보다는 은폐하고 부인하는 경향이 있음 권위주의적 사고방식의 자연스러운 결과임 TSA의 대응은 유치하고 당황스러움 DHS는 처음에는 보고서를 신속하고 전문적으로 처리했으나, 이후 문제 해결과 공개 과정에서 최고 권한을 유지하지 못함 SQL 인젝션을 넘어 직원의 가짜 기록을 생성한 것에 놀라움 Homeland가 관련자를 체포하지 않은 것에 더 놀라움 책임 있는 공개 대신 악의적인 해킹으로 오해할 가능성이 높았음 누구든지 약간의 동기만 있으면 911을 재현하는 데 어려움이 없음 테러가 적은 이유는 보안 기관이 우리를 보호해서가 아니라 테러리스트가 극히 적기 때문임 FlyCASS 개발자가 즉시 문제를 해결할 것을 알고 더 큰 반향을 원했을 가능성이 있음 MD5로 암호를 저장하는 것에 대해 아무도 언급하지 않는 상황이 심각함을 보여줌 SQL 쿼리를 통해 쉽게 접근할 수 있어 암호 저장 방식이 무의미함 문제의 심각성을 부인하는 것은 놀랍지 않지만, FBI에 알리지 않거나 체포하지 않은 것은 놀라움 수십억 달러의 보안 체계를 단순한 SQL 인젝션이 무력화함 TSA의 대응이 매우 충격적임 정부가 더 나은 인재를 고용하기 위해 급여 인상을 제안하고 싶지만, 문제는 체계적이라 효과가 없을 것 같음 모든 사람이 실수를 반복함 문제를 해결할 기회가 있었지만 놓침
Hacker News 의견
TSA 시스템이 기본적인 웹 프로그래밍 오류에 취약함
TSA의 대응은 유치하고 당황스러움
SQL 인젝션을 넘어 직원의 가짜 기록을 생성한 것에 놀라움
누구든지 약간의 동기만 있으면 911을 재현하는 데 어려움이 없음
FlyCASS 개발자가 즉시 문제를 해결할 것을 알고 더 큰 반향을 원했을 가능성이 있음
MD5로 암호를 저장하는 것에 대해 아무도 언급하지 않는 상황이 심각함을 보여줌
문제의 심각성을 부인하는 것은 놀랍지 않지만, FBI에 알리지 않거나 체포하지 않은 것은 놀라움
수십억 달러의 보안 체계를 단순한 SQL 인젝션이 무력화함
TSA의 대응이 매우 충격적임
정부가 더 나은 인재를 고용하기 위해 급여 인상을 제안하고 싶지만, 문제는 체계적이라 효과가 없을 것 같음