# 베라포트: 제대로 작동하지 않는 한국의 애플리케이션 관리 소프트웨어어

> Clean Markdown view of GeekNews topic #8625. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=8625](https://news.hada.io/topic?id=8625)
- GeekNews Markdown: [https://news.hada.io/topic/8625.md](https://news.hada.io/topic/8625.md)
- Type: news
- Author: [alanthedev](https://news.hada.io/@alanthedev)
- Published: 2023-03-06T17:43:16+09:00
- Updated: 2023-03-06T17:43:16+09:00
- Original source: [palant.info](https://palant.info/2023/03/06/veraport-inside-koreas-dysfunctional-application-management/)
- Points: 16
- Comments: 3

## Topic Body

*한국어 번역*: https://github.com/alanleedev/KoreaSecurityApps/blob/main/05_wizvera_veraport.md  
  
#### 목차  
-   발견한 내용 요약  
-   은행 웹사이트가 애플리케이션을 배포하는 방법  
-   위즈베라 베라포트 동작방식  
-   악성 정책으로부터 보호  
-   보안 내 구멍  
    -   전송 중 데이터 보호 부족  
    -   너무 넓게 설정된 allowedDomains  
    -   서명키는 누가 가지고 있나?  
    -   인증기관  
-   구멍을 결합한 익스플로잇 (exploit)  
    -   악성 웹사이트에서 기존 정책 파일 사용  
    -   악성 바이너리의 실행  
    -   시각적 단서 제거  
-   정보 유출: 로컬 애플리케이션  
-   웹서버 취약점  
    -   HTTP 응답 분할 (Response Splitting)  
    -   서비스 작업자를 통한 영구 XSS  
-   문제 신고하기  
-   무엇이 고쳐졌나  
-   남은 문제들  
  
--------  
한국 보안 애플리케이션 관련 연재의 (당분간?) 마지막 글입니다.  
이전 애플리케이션과 달리 발견된 많은 문제들이 글이 공개되기 전에 많이 고쳐진 것 같네요.  
하지만 여전히 남아있는 구조적인 문제들도 있습니다.

## Comments



### Comment 15158

- Author: roxie
- Created: 2023-03-11T16:08:29+09:00
- Points: 1

부끄럽네요.

### Comment 15078

- Author: kunggom
- Created: 2023-03-06T18:07:28+09:00
- Points: 2

참고로 본문 후반부에서 KrCERT가 여러 보안 전문가의 이메일 주소를 실수로 유출했던 사건의 국내 보도는 다음과 같습니다.  
  
- [KISA, 이메일 동보 발송 통한 개인정보 1,509건 유출 사실 통지](https://www.boannews.com/media/view.asp?idx=114003)

### Comment 15098

- Author: command2alt
- Created: 2023-03-08T10:24:45+09:00
- Points: 1
- Parent comment: 15078
- Depth: 1

국가와 국민의 보안을 지키겠다는 KrCERT(KISA 인터넷 보호나라) 곳에서 저러고 있는 데,  
다른 정부/공공기관은 오죽하겠냐고요....  
이런 상황인데도 디지털 강국이라고 떠든다는 사실이 부끄럽네요