Websocket 으로 정보 훔치기
(medium.com)- eBay의 포트스캔 이야기에 기반해서 더 확장
1. 웹사이트A에 2000~10000 사이의 포트를 스캔하여 연결후 기록하는 코드를 작성
2. A접속한 채로 다른 사이트B 접속시 B가 웹소켓을 사용한다면 그 내용을 A에서 캡쳐 가능
3. B가 React 의 webpack-dev 를 사용한다면 소켓간의 다양한 정보가 보이게 됨
4. 만약 B사이트 코드에 에러가 있다면 디버깅 정보를 통해 A가 코드 위치나 다른 정보들을 볼 수 있음
Tor는 그래서 localhost에 대한 접근을 아예 차단한다고 하더라고요. 슬슬 프라이버시를 위해서 localhost에 websocket가 접근하는 권한을 허락형으로 바꿔야 하지 않을까 싶습니다. 카메라처럼요.