보안/보안뉴스

6월 7일 오늘날 한 익명의 유저가 텔레그램 비공개 group-채널 권한 오류를 통해 수집한 텔레그램 채팅 내역 137.21GB를 6월 15일, 30일, 7월 7일 총 세 번에 걸쳐서 폭로하겠다고 밝혀 큰 파장이 예상되고 있습니다. 폭로 대상으로 지목된 명단은 아래와 같습니다. - 많은 팔로워를 보유한 크립토 인플루언서 - 이들이 러그풀, 스캠 프로젝트에 관해 나눈 대화 - 시총 상위 200위 까지의 프로젝트 파운더의 대화(유저의 돈을 착취하기 위한 대화 위주) - 위 모든 폭로 대상자의 Sexual 이슈 및 개인 치정 문제 출처는 아래 링크에서 볼 수 있습니다. https://mobile.twitter.com/adyingnobody/status/1534021154674966529 (중요) 관련해서 금일..

보안/보안뉴스

https://n.news.naver.com/article/055/0000977546 [Pick] 신용카드 알고리즘 푼 천재 사기꾼…"똑똑해" 수사관도 탄식 오직 공책에 풀어 쓴 자신만의 공식으로 신용카드 알고리즘 풀고, 타인의 신용카드를 100회 넘게 도용한 지능범죄 사기꾼이 검거됐습니다. 아르헨티나 현지 매체 C5N 등은 현지 시각으로 지난 26 n.news.naver.com 특정 은행이 카드를 발급할 때 어떤 규칙을 통해서 발급했다는데, 결국 그 점을 이용해서 사기꾼이 카드 번호에 해당하는 CVC 번호와 유효기간을 유추하는 알고리즘을 독자적으로 개발해서 결제를 해오다가 덜미를 붙잡혔다는 내용입니다. 차라리 이 좋은 머리로 취약점을 은행 측에 제보했더라면 명예도 얻고 포상금도 얻고 해서 일석이조였지 ..

보안/보안뉴스

4~5월 중에 KISA 취약점 정보 자료실에 올라온 두 웹 취약점이 있습니다. 두 취약점은 모두 웹 서비스를 대상으로 한 각각 Maxboard 와 Mangboard로 이름이 보드로 끝나는 서비스인 점에서 흥미롭고 모두 CMS 솔루션이면서 발견된 취약점이 흔히 알려진 취약점을 이용했지만서도 영향도가 높은 취약점이라는 것입니다. 버그헌터로써 이번 취약점 정보에 올라온 내용으로 인해 CMS 솔루션 취약점 분석에 관심이 생기는 계기가 된 것 같습니다. 아래 내용은 kisa 에 올라온 두 취약점 정보에 대해 동일한 내용으로 정리해놓은 것입니다. 추후 기회가 되면 직접 오픈소스를 다운로드 받아서 재현해보고 분석해볼 생각입니다. 취약점 정보 : CVE-2021-26628 | 맥스보드 XSS 및 파일 업로드 취약점 참..

보안/보안뉴스

원문 제목 : Apple paid out $36,000 bug bounty for HTTP request smuggling flaws on core web apps – research 요약하자면 이렇습니다. Stealthy 라는 닉네임으로 활동하고 있는 20살 버그헌터가 애플 사의 중요 웹사이트 3개(business.apple.com, school.apple.com, mapsconnect.apple.com)에서 HTTP Request Smuggling 취약점을 찾은 것인데요. 기본적으로 이 HTTP Request Smuggling 취약점은 이른바 CL(Content-Length), TE(Transfer-Encoding) 라는 용어가 나오는데요. 프론트 엔드 서버에서 CL 헤더를 request에서 읽어들이..

보안/보안뉴스

원문 기사 제목 : Fake Windows 11 update that can steal your data 가짜 windows 11 업데이트가 인터넷에 돌아다니고 있다고 합니다. 공격자는 실제 Windows 공식 웹사이트와 똑같이 만든 복제 피싱 사이트를 만들어두고 사용자들을 유혹하고 있다고 합니다. 딱 화면 가운데에 있는 DOWNLOAD NOW 버튼을 누르게끔 유도를 합니다. 많은 일반 사용자들이 Windows 11로 업데이트하려고 위 버튼을 눌렀다고 하네요.. 😥 위 버튼을 클릭하게 되면 사용자의 PC에 1.5MB 짜리 ZIP 파일을 다운로드하게 되는데, 악성코드 실행파일이 압축파일에 포함되어 있다고 합니다. 위 피싱 사이트의 도메인은 windows11-upgrade11.com 과 같은 형태였다고 합니..