반응형
최근 2달 사이에 네이버 지식iN XSS 성공 포스팅을 했었다.
[Hacking/Web] - 네이버 지식인 XSS 성공
[Hacking/Web] - 네이버 지식인 XSS 두 번째 성공
이번엔 따로 사용자의 입력이 필요 없고 네이버에서 직접 제공하는 기능만을 이용해서 IP를 가져오는 방식을 발견했다. 물론 IP가 개인 정보인가에 대한 내용에 대해선 논의의 필요성이 있긴 하지만 그래도 일반 사용자들에게는 보여지지 않는 것이 맞다고 생각한다.
해당 버그를 발견하고 바로 신고를 했었고, 현재는 고쳐진 것으로 보인다. 아직 답변 메일이 오지 않아서 확실하진 않다.
일단 위 영상의 경우 Python을 이용해서 해당 버그를 통해 지식iN 답변자의 IP를 가져오는 것을 시연한 영상이다. 이후 네이버에서 공식적으로 버그 fix에 대한 메일이 오면 해당 방식을 공개할 예정이다.
반응형
'Hacking > Web' 카테고리의 다른 글
| 네이버 지식인 XSS 두 번째 성공 (4) | 2018.10.28 |
|---|---|
| 네이버 지식인 XSS 성공 (0) | 2018.09.17 |
| 제로보드의 위험성 (0) | 2016.12.31 |
| Tistory 취약점??? (0) | 2016.04.16 |
| [문제 사이트] Lord of SQLinjection 2 (0) | 2015.12.08 |
