Home > Àüü±â»ç

ÆäÀÌÆÈ, Å©¸®µ§¼È Å»Ãë Ãë¾àÁ¡ ¹ß°ßÇÑ Àü¹®°¡¿¡°Ô 1¸¸ 5õ ´Þ·¯ Áö±Þ

ÀÔ·Â : 2020-01-10 12:50
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
ÀÎÁõ °úÁ¤ Áß¿¡ ¹ß°ßÇÑ Ä¡¸íÀûÀÎ Ãë¾àÁ¡...À̸ÞÀÏ°ú ºñ¹Ð¹øÈ£¸¦ Æò¹®À¸·Î ³ëÃâ½ÃÄÑ
¹ö»êÀº ÇÙ½É ¼¼ºÎ »çÇ× ºñ²¸°¡¸ç Ãë¾àÁ¡ °ø°³...ÆäÀÌÆÈÀº 1¸¸ 5õ ´Þ·¯ »ó±ÝÀ¸·Î °Ç³×


[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ÇÑ º¸¾È ¿¬±¸¿øÀÌ ÆäÀÌÆÈ¿¡¼­ Ä¡¸íÀûÀÎ Ãë¾àÁ¡À» ¹ß°ßÇØ 1¸¸ 5õ ´Þ·¯ÀÇ »ó±ÝÀ» ¹Þ¾Ò´Ù. °ø°ÝÀÚ°¡ ÀÌ Ãë¾àÁ¡À» ÀͽºÇ÷ÎÀÕ ÇÏ¸é »ç¿ëÀÚ À̸ÞÀÏ ÁÖ¼Ò¿Í ºñ¹Ð¹øÈ£¸¦ ½±°Ô ¾ò¾î³¾ ¼ö ÀÖ´Ù°í ÇÑ´Ù.

[À̹ÌÁö = iclickart]


¿¬±¸¿øÀº ÆäÀÌÆÈÀÇ ÁÖ¿ä ÀÎÁõ ½Ã½ºÅÛÀÇ ±¸Á¶¸¦ ºÐ¼®ÇÏ´Ù°¡ ÀÌ·¯ÇÑ Ãë¾àÁ¡À» ¹ß°ßÇß´Ù°í ÇÑ´Ù. ¡°Ãë¾àÁ¡Àº ÆäÀÌÆÈÀÌ ±³Â÷ »çÀÌÆ® ¿äû Á¶ÀÛ(CSRF) ÅäÅ«°ú »ç¿ëÀÚ ¼¼¼Ç ID¸¦ ÀÚ¹Ù½ºÅ©¸³Æ® ÆÄÀÏ¿¡ ÀúÀåÇÏ´Â °úÁ¤ Áß¿¡ ¹ß»ýÇÕ´Ï´Ù.¡± ÀÌ ¿¬±¸¿øÀº ¾Ë·º½º ¹ö»ê(Alex Birsan)À̶ó´Â Àι°·Î, ¡°CSRF ÅäÅ«°ú ¼¼¼Ç ID¿Í °°Àº Á¤º¸¸¦ Á÷Á¢ÀûÀ¸·Î È°¿ëÇØ °ø°ÝÀ» ½Ç½ÃÇÒ ¼ö ÀÖ´Â °Ç ¾Æ´ÏÁö¸¸, ÀÌ µÎ °¡Áö Á¤º¸¸¦ °¡Áö°í ÆäÀÌÆÈÀÇ °èÁ¤ º¸È£ ÀåÄ¡¸¦ ¶Õ¾î³¾ ¹æ¹ýÀÌ ¾ø´Â °Ç ¾Æ´Ï¾ú´Ù¡±°í ¸»ÇÑ´Ù.

ÆäÀÌÆÈ »ç¿ëÀÚ°¡ ¿©·¯ ¹ø ·Î±×ÀÎÀ» ½ÃµµÇϸé, ¸®Ä¸Ã­ ¹®Á¦¸¦ Ç®¾î¾ß¸¸ ÇÑ´Ù. ÀÌ ¸®Ä¸Ã­ ¹®Á¦°¡ ³ªÅ¸³ª´Â ÆäÀÌÁö¿¡´Â ±¸±ÛÀÇ Ä¸Ã­(Google CAPTCHA)¸¸ÀÌ È£½ºÆà µÇ¾î ÀÖ´Ù. »ç¿ëÀÚ°¡ ¹®Á¦¸¦ ¼º°øÀûÀ¸·Î Ç® °æ¿ì, /auth/validatecaptcha¿¡ HTTP POST ¿äûÀÌ Àü´ÞµÈ´Ù. ¡°±×·¯¸é¼­ »ç¿ëÀÚ´Â ´Ù½Ã ÇÑ ¹ø ÀÎÁõ °úÁ¤¿¡ µ¹ÀÔÇÏ°Ô µË´Ï´Ù. ±×·¯³ª ĸí¿¡ ´ëÇÑ »ç¿ëÀÚÀÇ ¹ÝÀÀÀÌ Àü´ÞµÉ ¶§ »ç¿ëÀÚ°¡ ±× Àü±îÁö Á¦°øÇÑ ¸ðµç Á¤º¸°¡ °°ÀÌ Àü´ÞµË´Ï´Ù. À̸ÞÀÏ ÁÖ¼Ò¿Í Æò¹®À¸·Î µÈ ºñ¹Ð¹øÈ£°¡ ¿©±â¿¡ Æ÷ÇÔµÇÁÒ.¡±

¹ö»êÀÌ ¹ß°ßÇÑ ¹Ù¿¡ ÀÇÇϸé, CSRF ÅäÅ«°ú ¼¼¼Ç ID´Â ¶Ç ´Ù¸¥ ÅäÅ« µÎ °³¿Í ÇÔ²² ¿äûÀÇ º»¹®¿¡ ÀúÀåµÇ¾î ÀÖ´Ù°í ÇÑ´Ù. ÀÌ ¸ðµç ÅäÅ«µéÀ» °ø°ÝÀÚ°¡ ´Ù ¾Ë°Ô µÈ´Ù¸é ÆäÀÌÆÈ Å©¸®µ§¼ÈÀ» ÃëµæÇÏ´Â °Ô °¡´ÉÇØÁø´Ù´Â °Ô ¹ö»êÀÇ ¿¬±¸ °á°ú´Ù.

¡°¼¼ °³ÀÇ ÅäÅ« °ªÀ» ¾Ë¾Æ¾ß ÇÑ´Ù´Â °Çµ¥¿ä, CSRF ÅäÅ«Àº °ø°ÝÀÚ°¡ °¡Áö°í ÀÖ°í, ³ª¸ÓÁö µÎ °³ Áß Çϳª´Â ¸®Ä¸Ã­ ÅäÅ«ÀÔ´Ï´Ù. »ç¿ëÀÚ°¡ ±¸±Û ¸®Ä¸Ã­¸¦ Ç® ¶§ ±¸±ÛÀÌ Á¦°øÇÏ´Â °ÍÀÌÁÒ. ÇÏÁö¸¸ ÀÌ ÅäÅ«Àº ¼¼¼Ç°ú ÀüÇô °ü°è°¡ ¾ø½À´Ï´Ù. Áï, ¸®Ä¸Ã­¸¦ Ç®¾ú´Ù´Â ³»¿ëÀÌ ´ã±ä ÅäÅ«À̶ó¸é ¾Æ¹« ÅäÅ«À» °¡Á®´Ù ½áµµ µÈ´Ù´Â °Ì´Ï´Ù.¡± ³ª¸ÓÁö ÇÑ °³ ÅäÅ«À» °ø·«ÇÏ´Â ¹æ¹ýÀº ¹ö»êÀÌ ¹Ì°ø°³·Î ó¸®Çß´Ù.

¡°±×·± ÈÄ ÇÇÇØÀÚ°¡ °°Àº ºê¶ó¿ìÀú¸¦ »ç¿ëÇØ ÆäÀÌÆÈ¿¡ ·Î±×ÀÎÀ» ¿Ï·áÇß´Ù¸é, ij½Ì µÈ ¹«ÀÛÀ§ Å©¸®µ§¼ÈÀº »ç¿ëÀÚÀÇ À̸ÞÀÏ ÁÖ¼Ò¿Í ºñ¹Ð¹øÈ£·Î ´ëüµË´Ï´Ù. ±×·¯¸é ¸î °¡Áö Ãß°¡ ÀÛ¾÷À» ÅëÇØ /auth/validatecaptcha ¿£µåÆ÷ÀÎÆ®¿¡¼­ Æò¹®À¸·Î µÈ Å©¸®µ§¼ÈÀ» ¾ò¾î³¾ ¼ö ÀÖ°Ô µË´Ï´Ù.¡± ¹ö»êÀÇ ¼³¸íÀÌ´Ù. ¸ð¹æ ¹üÁ˸¦ °í·ÁÇØ ÇÙ½ÉÀûÀÎ ¼¼ºÎ »çÇ×Àº ¹àÈ÷Áö ¾Ê´Â´Ù°í ÇÑ´Ù.

ÇÏÁö¸¸ ÀÌ·± °ø°ÝÀ» ¼º¸³½ÃÅ°·Á¸é »ç¿ëÀÚ°¡ ÆäÀÌÆÈ·Î ·Î±×ÀÎÀ» Çϱâ Àü¿¡ ¾Ç¼º À¥»çÀÌÆ®¸¦ ¹æ¹®Çϵµ·Ï À¯µµÇØ¾ß ÇÑ´Ù. ¡°ÀÌ´Â °ø°ÝÀÚµéÀÌ °¢Á¾ ¼Ò¼È ¿£Áö´Ï¾î¸µÀ̳ª ÇÇ½Ì ±â¹ýÀ¸·Î ÇØ°áÇÒ ¼ö ÀÖ½À´Ï´Ù. ¶ÇÇÑ Æ¯Á¤ üũ¾Æ¿ô ÆäÀÌÁö¿¡¼­µµ ºñ½ÁÇÑ °ø°ÝÀ» ÅëÇØ ½Å¿ëÄ«µå µ¥ÀÌÅ͸¦ Æò¹®À¸·Î ¹Þ¾Æº¼ ¼ö ÀÖ´Ù´Â °Íµµ ¾Ë¾Æ³Â½À´Ï´Ù.¡±

¹ö»êÀº ÀÌ·¯ÇÑ ³»¿ëÀ» ÇØÄ¿¿ø(HackerOne) Ç÷§ÆûÀ» ÅëÇØ ÆäÀÌÆÈ¿¡ ¾Ë·È´Ù. 11¿ù 18ÀÏÀ̾ú´Ù. ÆäÀÌÆÈÀº ÀÌ ³»¿ëÀ» Á¢¼öÇØ È®ÀÎÇß°í(ÀÌ ÀýÂ÷¿¡ 18ÀÏÀÌ °É·È´Ù), ÆÐÄ¡´Â 12¿ù 11ÀÏ¿¡ ¹ßÇ¥µÆ´Ù. ¶ÇÇÑ ÆäÀÌÆÈÀº ¹ö»ê¿¡ 1¸¸ 5300 ´Þ·¯¸¦ »ó±ÝÀ¸·Î Áö±ÞÇß´Ù.

ÆäÀÌÆÈÀº /auth/validatecaptcha ¿£µåÆ÷ÀÎÆ®°¡ Ãß°¡·Î CSRF ÅäÅ«À» ¿äûÇϵµ·Ï ¹Ù²å°í, ÀÌ ÅäÅ«Àº ¹ö»êÀÌ ¹ß°ßÇÑ °ø°Ý¹ýÀ¸·Î À¯Ãâ½Ãų ¼ö ¾ø´Ù´Â °ÍÀÌ È®ÀεDZ⵵ Çß´Ù. ¹ö»êÀº ¡°À̹ø ÆÐÄ¡·Î ¿ì·Á°¡ µÆ´ø ¸¹Àº ¹®Á¦µéÀÌ ÇØ°áµÆ´Ù¡±°í ¸»Çß´Ù. ÇÏÁö¸¸ ¡°½Ã½ºÅÛÀ» ¼³°èÇÒ ¶§ Á¶±Ý¸¸ ´õ Æò°¡¸¦ ²Ä²ÄÇÏ°Ô Ç߾ ¸·À» ¼ö ÀÖ´ø ¹®Á¦¿´´Ù¡±´Â ÀÇ°ßµµ µ¡ºÙ¿´´Ù. ¡°Æ¯È÷ ºñ¹Ð¹øÈ£¸¦ Æò¹®À¸·Î ÀúÀåÇÏÁö ¾Ê´Â´Ù´Â °Ç º¸¾ÈÀÇ ±âº» Áß ±âº»Àε¥, ÀÌ°Ô °£°úµÆ´Ù´Â °Ç ¹Ï±â Èûµé¾ú½À´Ï´Ù.¡±

3ÁÙ ¿ä¾à
1. ÇÑ ¿¬±¸¿ø, ÆäÀÌÆÈ ÀÎÁõ °úÁ¤ ºÐ¼®ÇÏ´Ù°¡ Ãë¾àÁ¡ ¹ß°ß.
2. Å©¸®µ§¼ÈÀ» Æò¹®À¸·Î ÃëµæÇÒ ¼ö ÀÖ°Ô ÇØÁÖ´Â °ÍÀ¸·Î, ±âº» Áß ±âº»ÀÌ °£°úµÇ¾î ÀÖ´ø °ÍÀÓ.
3. ÆäÀÌÆÈÀº 1¸¸ 5õ ´Þ·¯¸¦ »ó±ÝÀ¸·Î ÁÜ.

[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 0
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)