네이버 버그 바운티를 제출해보았다.

[이 블로그는 해킹 공부하면서 가볍게 정리용으로 기록 및 내 생각을 끄적여 두기 위한 블로그(라 쓰고 일기라 읽는)이다.]

 

웹 해킹을 공부하면서 주요통신기반시설 취약점 분석과 전자금융기반시설 취약점 분석에 기반하여 나를 비롯한 스터디원들이 개발한 웹 서버를 서로 해킹하고 모의해킹 보고서를 작성하는 시간을 가졌다.

 

두 번째 보고서는 금취분평의 가이드를 따라서 취약점 분석을 하고 있는 와중에 단말기 브라우저 내에서의 정보 노출 항목이 잘 이해가 가지 않는 것이다. 그래서 그냥 예를 들어 가입 시 주민등록번호나 중요 정보가 *표시로 마스킹이 안 되어있는 것만을 칭한 줄 알았는데 브라우저 개발자 도구에서 DOM 객체로 접근했을 때 마스킹된 글자가 평문으로도 나오면 안 되는 것이다.

 

그래서 다른 사이트들은 단말기 내에서의 정보 노출 항목을 어떻게 처리하고 있는지 궁금해서 네이버, 쿠팡 등등 로그인 시 확인을 해봤다. 

 

 

내가 작성한 비밀번호가 콘솔창에서 그대로 평문 노출이 된다..? 그래서 네이버 버그 바운티를 제출을 해봤다.

 

 

제출 완료를 했다. 그랬더니 오늘 답변이 왔는데 이미 인지중인 이슈라고 한다. 하긴 이렇게 발견하기 쉬운 항목을 모르고 있을 리는 없을 것 같긴 하였다.

 

그러나 신한은행과 같은 금융사에서 확인했을 때는 비밀번호와 같이 중요한 정보는 개발자 도구에서 DOM 접근이 안되는 것으로 확인된다.

 

 

금융사가 보안이 철저하다고 들어왔지만 네이버, 쿠팡이 안일한 것일까? 사실 이용자가 'Input' 태그에 입력하는 값이 클라이언트 상에 보이는 상황으로, 타인의 비밀번호가 노출되는 것이 아닌 이용자 자신의 입력값이 보이는것이라 엄청 중요한 취약점은 아니라 판단되긴 하지만 이 취약점이 어떻게든 활용이 될 수 있지 않을까 한다.