본문 바로가기

Daily/Life

사이트 이용 중 취약점 제보



# 한국소프트웨어산업협회

# 기술자신고

# 사이트 이용 중 취약점 제보

# 보안뉴스

# 데일리시큐



2019년 6월 13일


본업에 충실하여 소프트웨어산업협회에 기술자신고를 하던 본인은 취약점을 찾게된다

아주 기본중에 기본인 매개변수 조작으로 다른 사용자의 문의내역을 볼 수 있는 취약점...


요즘은 버그바운티다 뭐다 해서 상금도 주고 하는데 웹 취약점은 딱히...


그래도~ 기사에 내 이름 한줄 나와보고 싶어서 보안뉴스, 데일리시큐 등에 제보를 하게되는데,,


위 사진의 취약점은 현재 조치되었음(2020-03-05)


요즘도 이런 취약점이 나오는 데가 있나 싶은데 나오더라..무려 소프트웨어산업협회가 ㅋㅋㅋ


제보를 하게 된 결정적인 계기는 해당 홈페이지가 유료로 운영되고 있는점, 아직도 현업에서는 소프트웨어산업협회 경력증명서가 없으면 인정을 안해주는 곳이 많다.


사진으로는 없지만 회사경력이나 기술경력을 기입할 때 역시 매개변수를 조작하여 타인이 기입한 경력을 내 마음대로 조작이 가능했다. (이건 현재 확인 안해봄)


사실 메일로 보낸 건 내가 증적을 남기기 위함이었고 보안뉴스와 데일리시큐 홈페이지에 기사제보란을 통해서도 제보를 하였지만 답변이나 연락이 따로 오지는 않았고 잊고 있던 중에 메일함을 열어보다가 취약점이 조치되었나 궁금해서 오늘 확인해보니 조치가 되었더라


아주 옛날에 인벤 사이트 취약점 제보를 했을 땐 답장이라도 받았는데 씁쓸하다. 

https://it-gum.com/entry/%EC%8B%A4%EC%A0%84%ED%95%B4%ED%82%B9Burp-suite-%EC%82%AC%EC%9A%A9-%ED%8C%8C%EB%9D%BC%EB%AF%B8%ED%84%B0-%EB%B3%80%EC%A1%B0?category=641523