안녕하세요? 최근 금융보안원에서 버그바운티를 시작한다고 하길래 은행권 프로그램들을
분석하고 취약점 문서를 작성하느라 시간이 너무 빨리 지나가는 것 같네요.
결과로는 사이좋게 KISA에 2건 금융보안원에 2건 신고하는 것으로 끝냈는데요.
이전 글에서 쓴 것과 같이 4건 모두 동일한 취약점을 이용했습니다. 이제 너무 지겨워져서 좀 쉬어야할 것 같네요 ㅋㅋ
취약점을 분석하면서 서버에 전송하는 패킷을 보게되었는데 조금 이상한 부분이 있었습니다.
그래서 다른 은행도 확인해보니 겉모양은 다르게 보여도 구조는 똑같더군요.
서버쪽에 취약점이 있을 수도 있겠다는 생각이 들어서 검증을 해보고 싶었지만,
허가받지않은 점검은 불법이고 대부분 은행들은 모의해킹하는 사람이 한두사람도 아니고 설마 취약점이려나
라는 생각에 아무것도 하진 않았습니다. 뭐 취약점이면 해킹사고가 나겠지만 조용한 것을 보면 잘못본거겠죠
그래서 버그바운티를 하면서 실행파일 취약점 분석도 이제 슬슬 지겨워지고 있고
웹 취약점 분석을 해볼까 합니다. 물론 위에서 말한 것처럼 허가받지 않은 점검은 불법이지만,
네이버는 자체적으로 버그바운티를 운영하면서 점검 자체는 불법이 아니게됬습니다.
그러나 취약점 증명 외 불필요한 행위를 할 경우 버그바운티에서 제외됩니다.
https://bugbounty.naver.com/ko/
인터넷 검색을 하면서 웹 취약점 분석에 대해 여러가지 정보들을 찾아보고 있는데 정보가 엄청나게 많더군요.
처음 정보 수집부터 시작해서 해킹까지 문서가 너무 많아서 감을 못잡겠네요.
이후 그것들을 정리해서 포스팅하도록 하겠습니다.
'해킹' 카테고리의 다른 글
취약점 분석에 필요한 windbg에 python을 연동해보자! (0) | 2020.05.08 |
---|---|
웹 해킹을 시작하고 싶다면, 도움이 될만한 영상 (0) | 2020.05.07 |
버그바운티를 시작하고 싶다면, 팁 몇가지 (0) | 2020.05.01 |
금융보안원 버그바운티 시작한다네요. (4) | 2020.04.25 |
해킹을 어필할 때 중요한 것은 '어떻게 악용되는가' 이다. (2) | 2020.04.20 |