저격글 같아서 안쓰고 귀찮아서 미루고.. 오래되었는데 이제는 써야될것같다.
해당 서비스에 제보하기도 애매한게 해당 서비스 운영자가 악용하기 제일 좋은 문제라 이용자가 안쓰는 편이 더 좋다고 생각해서 공개된 글로 올린다.
해당 사이트를 이용하기위해서는 교차도메인간 통신(CORS)보안정책을 꺼줘야된다.
이는 브라우저의 보안을 10년전으로 돌린다.
만약, 해당 툴을 이용했던적 있고, 설명에 따라 브라우저 설정을 변경한적 있다면 아래의 설정 방법을 통해 원래대로 설정해줘야한다.
인터넷 익스플로러 설정방법
- 설정의 인터넷 옵션에 들어간다.
- 도메인 간의 데이터 원본 액세스를 사용안함(기본값)으로 변경
도메인 간의 데이터 원본 액세스를 사용하는 브라우저는?
해커의 먹잇감입니다. 마음만 먹으면 악성 사이트 접속만으로 내 모든정보를 가져갈수있습니다.
가져갈 수 있는 데이터 예시 : 네이버/다음등 포털 로그인 아이디 및 개인정보, 구글 로그인 데이터, 각종 클라우드 데이터 등
접속만으로(사이트 접속 -> 사이트에서 접속자가 접속한것처럼 속여서 개인정보 획득) 정보를 못가져가게 만든 보안 정책을 해제함으로 해킹에 무방비로 노출됩니다.
크롬에서 설정방법
- 크롬 바로가기에서 우클릭을 눌러 속성에 들어간다.
- 바로가기의 대상에서 만약 다음과 같은게 경로 뒤에 있다면 제거한다.
--disable-web-security --user-data-dir="C:\chrome"
CORS는 무엇인가?
브라우저에서 다른 도메인에 접근이 불가능한 보안정책입니다.
hi098123.tistory.com에서는 google.com의 정보를 불러올수없습니다.
만약에 hi098123.tistory.com에서 google.com의 로그인정보나 은행 정보등을 가로챈다면, 심각한 문제일겁니다.
브라우저 정책상 "블로그유틸24"에서는 000.tistory.com과 같은 주소에 접근 못하지만,
위의 설정을 통해 보안설정을 해제함으로써 접근가능하며 정보를 처리하는것 입니다.
때문에 이 보안 설정을 해제하신경우 해제한사람 또는 구버전 브라우저를 대상으로하는 악의적 사이트에 접속만으로
모든 정보가 털릴수있습니다.
SOME Attack
이런 해킹 기법을 SOME Attack이라고 부릅니다.
블로그유틸24의 올바른 처리방법은?
서버에서 주소를 받아서 서버에서 검색과 처리를 해야됩니다.
마지막으로
비 전문가의 말으로 보안전문가들이 설계한 방법들을 해제하지마세요.
모든 보안기능에는 이유가 있습니다.
'보안' 카테고리의 다른 글
| 프린트나이트메어(PrintNightmare) 임시 보안조치 방법 (0) | 2021.07.08 |
|---|---|
| 개발자는 해킹을 해본 적이 없다. (0) | 2020.07.28 |
저작권 보호안내
무단 전재, 재배포 행위는 금지됩니다. (글을 복사하여 게시금지)
본문의 일부(링크용 문장) 인용은 가능하지만, 출처와 링크(a 태그)를 남기셔야 됩니다.
(웹툴을 이용하고, 스크린샷/녹화하는것은 상관없습니다.)
예외적으로. 저에게 허락받은 경우에는 본문을 전재할 수 있습니다.
만약, 본문 공유를 원하신다면 링크 공유를 해주세요
저작권 정책 확인하기링크 공유하기