베라포트: 제대로 작동하지 않는 한국의 애플리케이션 관리 소프트웨어어

 (palant.info)
16P by alanthedev 15일전 | favorite | 댓글 3개

한국어 번역: https://github.com/alanleedev/KoreaSecurityApps/…

목차

  • 발견한 내용 요약
  • 은행 웹사이트가 애플리케이션을 배포하는 방법
  • 위즈베라 베라포트 동작방식
  • 악성 정책으로부터 보호
  • 보안 내 구멍
    • 전송 중 데이터 보호 부족
    • 너무 넓게 설정된 allowedDomains
    • 서명키는 누가 가지고 있나?
    • 인증기관
  • 구멍을 결합한 익스플로잇 (exploit)
    • 악성 웹사이트에서 기존 정책 파일 사용
    • 악성 바이너리의 실행
    • 시각적 단서 제거
  • 정보 유출: 로컬 애플리케이션
  • 웹서버 취약점
    • HTTP 응답 분할 (Response Splitting)
    • 서비스 작업자를 통한 영구 XSS
  • 문제 신고하기
  • 무엇이 고쳐졌나
  • 남은 문제들

한국 보안 애플리케이션 관련 연재의 (당분간?) 마지막 글입니다.
이전 애플리케이션과 달리 발견된 많은 문제들이 글이 공개되기 전에 많이 고쳐진 것 같네요.
하지만 여전히 남아있는 구조적인 문제들도 있습니다.

roxie 10일전  [-]

부끄럽네요.

답변달기
kunggom 15일전  [-]

참고로 본문 후반부에서 KrCERT가 여러 보안 전문가의 이메일 주소를 실수로 유출했던 사건의 국내 보도는 다음과 같습니다.

답변달기
command2alt 13일전  [-]

국가와 국민의 보안을 지키겠다는 KrCERT(KISA 인터넷 보호나라) 곳에서 저러고 있는 데,
다른 정부/공공기관은 오죽하겠냐고요....
이런 상황인데도 디지털 강국이라고 떠든다는 사실이 부끄럽네요

답변달기