웹 해킹을 시작하고 싶다면, 도움이 될만한 영상

안녕하세요! 이제 웹 해킹을 시작하려는데요.

웹 해킹을 시작하기 전 어떤 것들을 공부해야할지 정보를 찾아보는 중 LINE에서 발표한 

LINE x NAVER 개발 보안 취약점 이야기 라는 영상이 흥미로워서 오늘은 이 영상에 대해 리뷰해볼려고 합니다. 

https://tv.naver.com/v/4578192

LINE x NAVER 개발 보안 취약점 이야기

 

먼저 영상의 초반부분에서는 버그바운티에 대한 설명을 해주는데요. 

이 부분에 대해서는 많이들 아실테니 만약 모르신다면 영상을 참고하시면 되겠습니다. 

 

 

6분부터 본격적인 버그바운티 사례들을 소개하는데요 간단하게 정리해보면, 

 

 

웹뷰

XSS

CSRF

Open Redirect 

SSRF 

쇼단

Path Traversal 

 

위와 같이 7가지를 소개하고 있는데요.

웹뷰 사례의 경우 웹뷰 자체에 XSS가 가능한 취약점을 보여주고 있습니다. 

오래된 안드로이드의 경우 웹뷰 취약점이 존재하기에 사용하지 말라고 권하고 있습니다.

 

그 다음 취약점은 XSS인데요. 가장 많이 발생하는 취약점이면서 가장 위협적인 취약점이라고 저는 보고 있습니다.

XSS를 설명해드리자면, 사용자 브라우저에서 임의의 자바스크립트를 실행할 수 있는 취약점인데요.

이러한 취약점을 이용해서 웹 브라우저의 자바스크립트 취약점을 이용해 심각한 경우 코드실행까지 할 수 있습니다.

일반적으로 악용하는 방법으로는 로그인 쿠키를 탈취해

해커가 아이디, 비밀번호없이 피해자의 아이디를 로그인할 수 있죠

영상에서는 어느 부분에서 취약한지 알려주고 어떻게 패치해야할지 화면을 통해 보여주고 있습니다.

 

제가 볼 때 XSS는 단순히 사이트의 자바스크립트 실행을 넘어서 상상이상으로 악용할 수 있는 취약점이고,

개인적인 의견으로 XSS는 취약점의 시작과 끝이라고도 생각이 들 정도로 굉장히 중요한 취약점이라고 생각합니다.

 

세번째로는 CSRF 취약점인데요. 

CSRF는 Cross site request forgery 라는 단어의 약자로 이러한 취약점이 존재할 경우 

사용자는 페이지를 접속하는 것만으로도 회원가입이 되거나, 서버로 데이터를 전송할 수 있는 취약점이고,

거기에 대한 대응방안도 같이 소개되고 있습니다.

근본적으로 해결되지 않을 취약점으로 보이나, XSS처럼 심각한 취약점은 아니라고 생각이 듭니다. 

어떻게 악용할지 조금 더 알아봐야할 취약점입니다.

 

네번째로는 Open Redirect 취약점인데요.

영상에서 보통 피싱사이트에 많이 악용된다고 합니다. 그 이후 우버에서 악용된 사례를 소개하고 있는데, 

버그바운티로 나온 금액이 $7000 이라고 합니다. 굉장히 심각한 취약점이라고 판단한 사례죠

어떻게 악용할지 생각을 좀 해봐야할 취약점이네요

 

다섯번째로는 SSRF, server side request forgery입니다.

악용사례로는 서버가 있는 내부 네트워크를 스캔할 수 있는 취약점이라고 소개하고 있습니다. 

이미지를 불러오는 페이지의 경우 서버에서 직접 페이지를 불러오기 때문이라고 하는데요.

만약 취약점을 이용하면, 이미지가 들어갈 부분에 request에 대한 응답이 위치할 수 있다고 합니다. 

굉장히 흥미로운 취약점입니다. 

 

이제 쇼단과 path traversal 그리고 앱 취약점 진단 툴에 대해 설명을 하는데요.

취약점 설명이라기보단 정보 수집 방법들이라고 생각들어서 궁금하시면 직접 영상을 참고하시면 되겠습니다~

 

그 이후 NAVER에서 발표를 하는데요. 주제로는 버그바운티로 제출된 정보를 이용해 어떤것을 할 수 있을까? 입니다.

영상에서는 버그헌팅 자동화, 그리고 제출된 코드를 이용한 취약점 분석 교육에 대한 이야기를 하고 있습니다.

 

웹 해킹을 시작한다면 정말 유익한 영상이니 못보셨다면 꼭 보시길 바랍니다~