16P by alanthedev 2023-03-06 | favorite | 댓글 3개

한국어 번역: https://github.com/alanleedev/KoreaSecurityApps/…

목차

  • 발견한 내용 요약
  • 은행 웹사이트가 애플리케이션을 배포하는 방법
  • 위즈베라 베라포트 동작방식
  • 악성 정책으로부터 보호
  • 보안 내 구멍
    • 전송 중 데이터 보호 부족
    • 너무 넓게 설정된 allowedDomains
    • 서명키는 누가 가지고 있나?
    • 인증기관
  • 구멍을 결합한 익스플로잇 (exploit)
    • 악성 웹사이트에서 기존 정책 파일 사용
    • 악성 바이너리의 실행
    • 시각적 단서 제거
  • 정보 유출: 로컬 애플리케이션
  • 웹서버 취약점
    • HTTP 응답 분할 (Response Splitting)
    • 서비스 작업자를 통한 영구 XSS
  • 문제 신고하기
  • 무엇이 고쳐졌나
  • 남은 문제들

한국 보안 애플리케이션 관련 연재의 (당분간?) 마지막 글입니다.
이전 애플리케이션과 달리 발견된 많은 문제들이 글이 공개되기 전에 많이 고쳐진 것 같네요.
하지만 여전히 남아있는 구조적인 문제들도 있습니다.

부끄럽네요.

참고로 본문 후반부에서 KrCERT가 여러 보안 전문가의 이메일 주소를 실수로 유출했던 사건의 국내 보도는 다음과 같습니다.

국가와 국민의 보안을 지키겠다는 KrCERT(KISA 인터넷 보호나라) 곳에서 저러고 있는 데,
다른 정부/공공기관은 오죽하겠냐고요....
이런 상황인데도 디지털 강국이라고 떠든다는 사실이 부끄럽네요