본문 바로가기

취약점

사이트 이용 중 취약점 제보 # 한국소프트웨어산업협회# 기술자신고# 사이트 이용 중 취약점 제보# 보안뉴스# 데일리시큐 2019년 6월 13일 본업에 충실하여 소프트웨어산업협회에 기술자신고를 하던 본인은 취약점을 찾게된다매개변수 조작으로 다른 사용자의 문의내역을 볼 수 있음 보안뉴스, 데일리시큐 등에 제보를 하였다 위 사진의 취약점은 현재 조치되었음(2020-03-05) 요즘도 이런 취약점이 나오는 데가 있나 싶은데 나오더라 제보를 하게 된 결정적인 계기는 해당 홈페이지가 유료로 운영되고 있는점, 아직도 현업에서는 소프트웨어산업협회 경력증명서가 없으면 인정을 안해주는 곳이 많다. 사진으로는 없지만 회사경력이나 기술경력을 기입할 때 역시 매개변수를 조작하여 타인이 기입한 경력을 내 마음대로 조작이 가능했다. (이건 현재 확인 안해봄).. 더보기
실전해킹(Burp suite 사용) - 파라미터 변조 제목은 거창하게 포스팅했지만 막상 그렇게 크리티컬한 내용도 아닐뿐더러, 이게 해킹이야? 하시는 분들도 있을 것 같습니다어디까지나 Burp suite 의 간단한 사용법 및 파라미터 변조의 기본적인 원리에 포커스를 맞췄으며특정 사이트에 실제로 행한 행위이기때문에 조심스럽게 포스팅해봅니다(사진은 클릭하면 확대됩니다) 본인은 사이트의 관리자에게 해당 취약점에 대해 제보하였으며확인 후 조치하겠다는 회신을 받은 바 있습니다또한 해당 자료가 저작권 또는 2차 피해우려 등의 문제가 있다면 바로 삭제하겠습니다 Burp Suite 다운로드 # Burp suite에 대한 자세한 사용법은 많이 나와있으며 쉽게 구하실 수 있습니다 Burp suite는 Paros와 함께 실제 모의해킹 컨설팅/취약점 진단 시에 널리 쓰이는 프로그.. 더보기