본문 바로가기

Hacking/Web

네이버 지식iN 답변자 IP 노출 버그

최근 2달 사이에 네이버 지식iN XSS 성공 포스팅을 했었다.


[Hacking/Web] - 네이버 지식인 XSS 성공

[Hacking/Web] - 네이버 지식인 XSS 두 번째 성공


이번엔 따로 사용자의 입력이 필요 없고 네이버에서 직접 제공하는 기능만을 이용해서 IP를 가져오는 방식을 발견했다. 물론 IP가 개인 정보인가에 대한 내용에 대해선 논의의 필요성이 있긴 하지만 그래도 일반 사용자들에게는 보여지지 않는 것이 맞다고 생각한다.


해당 버그를 발견하고 바로 신고를 했었고, 현재는 고쳐진 것으로 보인다. 아직 답변 메일이 오지 않아서 확실하진 않다.



일단 위 영상의 경우 Python을 이용해서 해당 버그를 통해 지식iN 답변자의 IP를 가져오는 것을 시연한 영상이다. 이후 네이버에서 공식적으로 버그 fix에 대한 메일이 오면 해당 방식을 공개할 예정이다.


'Hacking > Web' 카테고리의 다른 글

네이버 지식iN 답변자 IP 노출 버그  (2) 2018.11.19
네이버 지식인 XSS 두 번째 성공  (4) 2018.10.28
네이버 지식인 XSS 성공  (0) 2018.09.17
제로보드의 위험성  (0) 2016.12.31
[문제 사이트] Lord of SQLinjection 2  (0) 2015.12.08
Magic Hash  (0) 2015.11.06
  • 비밀댓글입니다

    • 아 제가 댓글을 너무 늦게 확인했었네요.
      안타깝게도 해당 스크립트 파일은 없는 상태입니다. 다만 아래 영상에서 나온 취약점을 requests 모듈을 이용해서 흉내내는 방식으로 구현하였습니다.
      https://www.youtube.com/watch?v=adlA0VIOmW0