썸네일 이미지
Instagram의 암호 해제? 2019년에도 가능하던 보안문제 사용자의 암호찾기가 쉽게 뚫렸다? IP당 200여개, 6자리 숫자코드를 뚫기위해 5000개의 IP만 있으면 비밀번호 찾기를 위한 모든 인증코드를 시도할 수 있다. 5000 IP는 많아 보이나, 클라우드 서비스를 이용하면 $150면 가능하다. 제보자는 다음을 문제삼았고, 아주 오래된 해킹수법인 bruteforce(무차별 대입) 방식을 이용해 사용자의 암호를 변경할수 있었다. 요청의 수와 블랙리스트가 없다는 것입니다. 짧은 시간 내에 보낼 수있는 요청 수가 제한되어 있어도 차단되지 않고 계속 요청을 보낼 수있었습니다. 이런 문제를 제보한 사용자에게 페이스북은 $30000 를 지급하였다. 지금은 해결된 문제입니다. 2019년에도 대입공격이 가능했다니.. https://bugreader.com/laxman@in..
SBS 보안문제 발견 2019/06/24 여기도 마찬가지로 유료로 팔려는걸 꽁짜로 웹에 뿌리고 있다.. 트위치, M-net, SBS 내가 발견한 목록들인데 돈벌이를 이렇게 대충해도 될까 싶다. 보안 능력이 뛰어난 프로그램을 쓰는데 활용을 못한다. 안타깝다 낼 연락해봐야지 추가 2019/06/25 말로나 글로 설명은 어려운데 고객센터에 문의하니 그렇게 하란다. 내일 다시 문의해서 생각없어 보이면 안 알려줄 생각
스트리밍) Wowza Wowza 는 스트리밍 서버 프로그램으로 우리나라의 많은 기업들과 전세계 스트리밍 회사들이 많이 사용하고 있는 제품이다. 우리나라는 지상파 방송사들 아프리카 티비 추가적으로 여러 공중파 방송사들 다시보기/라이브 영상을 송출해주기위한 서버용 소프트웨어다. 가격으로는 서버당 몇백만원씩 한다. 내 평가로는 전세계에서 활용하는 소프트웨어로 꽤나 완벽한 보안능력을 보여준다. 직접 사용해본게 아니라 서버측에서 자원 활용에 대해 점수는 못매기겠지만. 외부에서 볼때 보안능력은 1등 인것 같다. Wowza >> 트위치 >>>> 자체 개발 서버프로그램 자체 개발인경우 보안에서 많이 문제가 있다. 보여주면 안되는 (유료/로그인 필요) 등 부분을 흘려준다.. 트위치 마저도 ㅋㅋ 어쩔수 없는것 같다. 전문 프로그램은 전문적으로..
썸네일 이미지
국내 방송사인 MNET 유료제공 기능에 보안문제 발견. M-Net 에서 제공하는 기능중 일부기능들은 유료이용권을 구매후에만 이용할수 있다. 그러나 유료이용권이 필요하다고 나옴에도 인증우회가 가능한 것을 발견 수정 1. 엠넷에 제보했지만 며칠이 지난 지금(2019/05/05)도 답이 없다...ㅋㅋㅋ 2. 2019/05/25 아직도 답이 없음 3. 이후 자체적으로 해결하겠다고 밝힘 4. 8/1일 제한으로 보안 문제는 종료되었습니다. wowza가 잘 설계되어서 키값, 세션으로 영상 시청권한 주는것으로 미리보기를 구성해도 해결이 가능한데 full영상 제한으로여도 보안문제는 종료되었다.
썸네일 이미지
트위치 스트리밍 보안 문제 해결 트위치 보안문제를 해결해주었다. 특정 유료컨텐츠를 인증을 우회하여 무료로 사용 가능했고 이 부분을 지적하여 버그크라우드에 나의 명예의 전당기능에 트위치가 올라갔다. 내가 볼때 많은 스트리밍 회사들이 돈을 주고 스트리밍 구축을 하는데 이에 대한 보안은 매우 취약한걸로 보인다. 트위치도 자체 스트리밍 서비스이고 이 부분을 고려하지 못했던걸로 보인다. 우리나라에서 가장 많이 쓰는 한 스트리밍 서버 업체는 이러한 문제가 없는것으로 보이나 일부 사설 스트리밍 서버를 구축한 업체들은 아주 쉽게 인증우회가 된다.
썸네일 이미지
세계 1위 스트리밍 업체 트위치의 보안문제를 제보하다 세계 최고 업체 답게 보안이슈를 제기하면 포상을 주는 기능이 있다. bugcrowd : https://bugcrowd.com/ 라는 곳에서 운영한다. https://bugcrowd.com/vulnerability-rating-taxonomy 다양한 보안 문제리스트들이 있다. 리스트를 보면 들어본것도 많지만 못들어본것도 많다. 정말 광범위하게 거의 모든 이슈를 다 등급을 매긴듯하다. 다만 외국계열 업체라 한국인이 이용하기 까다롭다. 이런걸 좀 고쳐 줬으면 좋겠다. 어떠한 문제를 제보했는지는 계약상 비밀이다. 유료 서비스인데 무료로 뚫린다. 그런걸 제보한것 두번째 칸인 Technical serverity 굉장히 복잡하다. 검토할게 너무 많다.. 이거 때문에 제보하지 말까 고민도 많이 했다. url을 작성하고..
썸네일 이미지
와이파이 보안 먼저 와이파이 보안이 왜 중요할까?? 1. http통신시 패킷감청 가능(전화로 치면 도청같은것) 2. 와이파이와 연결된 ip카메라등 다른 기기 접속가능 3. 당신의 ip를 이용하여 해킹 범죄에 활용가능 4. 불필요한 광고 삽입 가능 등 여러 문제가 생길 수 있다. wifi를 보안 하면 wifi비밀번호 걸면 끝 아냐 라고 생각할 수 있는데 그것만은 아니다. wifi비밀번호 이후 2가지만 설정하면 되니 끝까지 읽어 주세요 공공장소(카페,학원,pc방,음식점 등)에서 와이파이를 운영하시는 분은 꼭 뒤를 읽어주세요!! 대부분의 wifi는 무차별 대입(brute force)에 약하다. 어지간하면 와이파이 비번정도는 금방 뚫린다는 말 또 공공장소면 비밀번호가 오픈된곳이 많다 그렇다면 에 암호를 걸..