베라포트: 제대로 작동하지 않는 한국의 애플리케이션 관리 소프트웨어어
(palant.info)한국어 번역: https://github.com/alanleedev/KoreaSecurityApps/…
목차
- 발견한 내용 요약
- 은행 웹사이트가 애플리케이션을 배포하는 방법
- 위즈베라 베라포트 동작방식
- 악성 정책으로부터 보호
- 보안 내 구멍
- 전송 중 데이터 보호 부족
- 너무 넓게 설정된 allowedDomains
- 서명키는 누가 가지고 있나?
- 인증기관
- 구멍을 결합한 익스플로잇 (exploit)
- 악성 웹사이트에서 기존 정책 파일 사용
- 악성 바이너리의 실행
- 시각적 단서 제거
- 정보 유출: 로컬 애플리케이션
- 웹서버 취약점
- HTTP 응답 분할 (Response Splitting)
- 서비스 작업자를 통한 영구 XSS
- 문제 신고하기
- 무엇이 고쳐졌나
- 남은 문제들
한국 보안 애플리케이션 관련 연재의 (당분간?) 마지막 글입니다.
이전 애플리케이션과 달리 발견된 많은 문제들이 글이 공개되기 전에 많이 고쳐진 것 같네요.
하지만 여전히 남아있는 구조적인 문제들도 있습니다.