DDOS와 부하 DDOS는 공격 대상(서버 또는 서비스)이나 그 주변 인프라(네트워크)를 멈추게 하는 공격기법입니다. 요즘에는 워낙 네트워크 장치가 발전하여 수십TB 분량의 트래픽도 처리하는 업체도 있습니다. DDOS는 방식에 따라 네트워크(또는 라우팅)뿐만 아닌 서버를 멈추게도 만들 수 있습니다. DDOS공격을 막는다는 것은 어떤 형태로 들어와도 서비스가 멈추지 않으면 됩니다..(?) 즉, 서버/네트워크 환경이 압도적으로 크거나, 공격에서 서버가 멈추지 않게 거르(방화벽 등)는 방법뿐입니다. 예를들어, "블로그와 같은 정적인 페이지+평상시 부하량이 매우적다(1% 미만)" 라고 가정한 환경에서 한번 실행에 서버시간이 10ms도 소요되지 않는 페이지(또는 API)만 있다면 CPU와 네트워크의 성능에 따라 다르겠지만 방어수..
싹둑 서비스 가벼운 결함 공격 난이도 낮음 취약 정도 매우 낮음(스팸 증가 가능) 공격 난이도와 취약정도는 모두 낮은 수준으로 바로 고치지 않아도 되는 수준의 문제입니다. 예상되는 문제로는 봇(스팸) 정도의 문제가 있을 수 있습니다. 싹둑에서 URL입력 차단 기능에 허점이 한개가 있는데, 싹둑의 내부 검출식은 정확히 모르나, 트위치 채팅에 자동으로 링크를 만드는 regex식과 싹둑이 차단해주는 방식이 달라 발생하는 문제입니다. var s=/(?:(https?:\/\/)?((?:[\w#%\-+=:~]+\.)+[a-z]{2,10}(?:\/[\w./#%&@()\-+=:?~]*[^\.!,?])?))/; 위의 Regex식은 자바스크립트에서 표현되는 식으로 트위치의 URL링크 생성 표현식입니다. 싹둑은 !명령어로 명령어를 입력받습니다. !..
썸네일 이미지
티스토리 API 보안 취약점 공격 난이도 쉬움 취약 정도 매우 높음 악의적 스크립트 삽입 (XSS) 글 암호화 (≒ Ransomware) 비밀글, 비공개 글 열람 광고글 삽입 모든 글 삭제 웜 형태로 배포 가능 사실상 계정탈취와 비슷한 수준 공격 흐름 (Flow) 등장 인물 : 피해자(A), 악의적 웹 사이트(티스토리가 아니어도 됨) 피해자(A)는 악의적 웹 사이트에 접속했습니다. (사이트는 피해자(A)의 티스토리 로그인 정보를 활용해 게시글을 열람/수정/삭제 할 수 있습니다.) 이 공격은 사용자측에서 사용자의 권한을 이용하여 서버를 속이는 형태의 과정으로 동작합니다. 악의적 사이트의 공격 과정 웹브라우저 상에서 로그인된 사용자의 access_token 획득하기 (로그인 되어있다면) GET 'https://www.tistory.co..
썸네일 이미지
티스토리 세션 탈취 보안 문제 공격 난이도 낮은 수준 취약 정도 최상 가능한 옵션 : 계정탈취(Account Takeover) 테스트 블로그에서 확인된 세션 탈취 예제 iframe 내부에 탈취한 세션이 표시된다. 찾아낸 계기는 이렇습니다. 포럼에서 글을 봤는데 크로스도메인 세션 문제로 보였습니다. 들어가서 쿠키를 봤다가 설정된 쿠키 규칙을 보고 만약 2차도메인을 루트로 만들고 서브도메인에서 세션을 확인하면 사이트 접속자의 세션을 탈취할수있지 않나 하는 생각이 들어서 테스트블로그로 확인을 해보았고 가능함을 확인하였습니다. 표준 웹 규격에서 도메인에 설정된 세션은 서브도메인과 공유하도록 되어있습니다. 설마 했지만 루트도메인으로 티스토리를 설정 후 서브도메인으로 iframe을 로드하면 당연히 세션이 전달됩니다. 공격 과정은 이렇습니다. 서..
썸네일 이미지
국내 방송사인 MNET 유료제공 기능에 보안문제 발견. M-Net 에서 제공하는 기능중 일부기능들은 유료이용권을 구매후에만 이용할수 있다. 그러나 유료이용권이 필요하다고 나옴에도 인증우회가 가능한 것을 발견 수정 1. 엠넷에 제보했지만 며칠이 지난 지금(2019/05/05)도 답이 없다...ㅋㅋㅋ 2. 2019/05/25 아직도 답이 없음 3. 이후 자체적으로 해결하겠다고 밝힘 4. 8/1일 제한으로 보안 문제는 종료되었습니다. wowza가 잘 설계되어서 키값, 세션으로 영상 시청권한 주는것으로 미리보기를 구성해도 해결이 가능한데 full영상 제한으로여도 보안문제는 종료되었다.
썸네일 이미지
트위치 스트리밍 보안 문제 해결 트위치 보안문제를 해결해주었다. 특정 유료컨텐츠를 인증을 우회하여 무료로 사용 가능했고 이 부분을 지적하여 버그크라우드에 나의 명예의 전당기능에 트위치가 올라갔다. 내가 볼때 많은 스트리밍 회사들이 돈을 주고 스트리밍 구축을 하는데 이에 대한 보안은 매우 취약한걸로 보인다. 트위치도 자체 스트리밍 서비스이고 이 부분을 고려하지 못했던걸로 보인다. 우리나라에서 가장 많이 쓰는 한 스트리밍 서버 업체는 이러한 문제가 없는것으로 보이나 일부 사설 스트리밍 서버를 구축한 업체들은 아주 쉽게 인증우회가 된다.
썸네일 이미지
세계 1위 스트리밍 업체 트위치의 보안문제를 제보하다 세계 최고 업체 답게 보안이슈를 제기하면 포상을 주는 기능이 있다. bugcrowd : https://bugcrowd.com/ 라는 곳에서 운영한다. https://bugcrowd.com/vulnerability-rating-taxonomy 다양한 보안 문제리스트들이 있다. 리스트를 보면 들어본것도 많지만 못들어본것도 많다. 정말 광범위하게 거의 모든 이슈를 다 등급을 매긴듯하다. 다만 외국계열 업체라 한국인이 이용하기 까다롭다. 이런걸 좀 고쳐 줬으면 좋겠다. 어떠한 문제를 제보했는지는 계약상 비밀이다. 유료 서비스인데 무료로 뚫린다. 그런걸 제보한것 두번째 칸인 Technical serverity 굉장히 복잡하다. 검토할게 너무 많다.. 이거 때문에 제보하지 말까 고민도 많이 했다. url을 작성하고..