당원존 자유게시판

현재까지 발견된 블루웨이브 보안 취약점을 정리하고 자러가겠습니다

  • 2023-07-11 01:38:36
  • 199 조회
  • 댓글 3
  • 추천 13

공격방법은 적지 않겠습니다.

공격방법을 모두 알고있었지만 장난성으로 사용한 것(이런거이런거) 외에 사용자의 개인정보를 탈취하는 목적으로는 사용하지 않았습니다.

정렬 순서는 발견한 순서 또는 관련성 있는것 끼리


0. 외부 서버의 스크립트를 가져올 수 있습니다.

1. 글 내용에 스크립트를 적어 공격자가 게시판에 방문한 당원에게 원하는 동작을 시키거나 정보를 탈취할 수 있습니다. (XSS 공격)

2. 쿠키에 실명, 전화번호, 지역구, 이메일 주소, 집 주소(도까지) 등의 쿠키에 저장되어서는 안 되는 정보가 "평문으로" 저장되어있습니다. 쿠키는 1번의 방법으로 손쉽게 얻거나 조작할 수 있습니다. 당장 개발자도구를 켜서 콘솔창에 document.cookie 를 입력하고 엔터를 눌러보십시오. 그게 개인정보입니다. 

3. 게시판에 iframe을 삽입하면 공격자가 당원들에게 바이러스를 다운로드하게 만들 수 있습니다. 자신도 모르는 사이에요. 또 그 외의 여러 공격이 가능합니다.

4. 로그인을 하지 않은 상태에서 대댓글이 달립니다.

5. 자바스크립트 콘솔을 사용하여 추천 수를 마음대로 늘릴 수 있습니다. 콘솔을 사용하지 않더라도 1번 방법을 사용해 순식간에 추천 수를 100개 넘게 올릴 수 있었습니다.

6. 타인의 게시글을 수정/삭제할 수 있습니다. 당대표님 글까지도요. 이를 이용해 모든 게시글을 XSS공격하는 게시글으로 만들 수 있습니다.

7. 아이디 수정 기한 180일을 무시하고 자유롭게 바꿀 수 있는 버그가 있습니다.

8. 취약점은 아니지만 사이트에 오타가 좀 있습니다.


수정횟수: 3회

마지막 수정: 2023-07-11 01:56:59


댓글

2023-07-11

아는것도 별로 없는 고등학생이 꼴랑 5시간동안 조사해서 나온게 이 정도인데 전문적으로 하는 사람이 공격했을 때 어떤 일이 벌어질지 상상하면 끔찍하네요

2023-07-11

@arores님에게 보내는 댓글

대단하시다 우리나라의 유망주!!얼른 보완됐으면 좋겠네요ㅜㅜ

2023-07-13

@arores님에게 보내는 댓글

아는 게 없다뇨. 겸손하시네요. 멋져요.
이런 거 공부하려면 어떤 책으로 공부해야 하나요? 저는 임베디드 제어기 쪽이라... IT는 완전 몰라요

최신댓글

신고하기
신고 게시물은 삭제되며, 해당 게시물을 올린 유저는 덧글쓰기 및 글쓰기 제한을 받을 수 있습니다.
단, 허위신고일 경우, 신고자의 활동에 제한을 받게 되오니, 그 점 유의해 주시기 바랍니다.