- ÇöÀç À§Ä¡
- home > ÄÄÇ»ÅÍ¡¤ICT¡¤¾îÇÐ > ÄÄÇ»ÅÍ¡¤IT µµ¼ > º¸¾È/ÇØÅ· > ½ÇÀü ¹ö±× ¹Ù¿îƼ[¿¡ÀÌÄÜÃâÆÇ]
Ãë¾àÁ¡À» ¹ß°ßÇØ Á¦º¸ÇÏ°í Æ÷»ó±ÝÀ» ¹Þ´Â Á¦µµÀÎ ¹ö±× ¹Ù¿îƼ(bug bounty)¿¡ °üÇÑ Ã¥ÀÌ´Ù. ¹ö±× ¹Ù¿îƼ·Î ±â¾÷Àº È¿À²ÀûÀ¸·Î Ãë¾àÁ¡À» ãÀ» ¼ö ÀÖ°í, ÇØÄ¿´Â ±ÝÀüÀûÀÎ º¸»óÀ» ¹ÞÀ» ¼ö ÀÖ¾î ±â¾÷°ú ÇØÄ¿°¡ »ó»ýÇÒ ¼ö ÀÖ´Ù. ÀÔ¹®ÀÚ´Â ½ÇÁ¦ ±â¾÷ÀÌ ¿î¿µÇÏ´Â ¼ºñ½º¸¦ ´ë»óÀ¸·Î ¹ö±×¸¦ ¹ß°ßÇÏ´Â ±â¼úÀûÀÎ °æÇèÀÌ ºÎÁ·ÇÒ ¼ö ÀÖ´Ù. ¹ö±× ÇåÆà °æ·ÂÀÚ ¶ÇÇÑ ½Ã°£Àû Á¦¾à°ú Á¦ÇÑµÈ ÀÚ·á·Î ÀÎÇØ ´Ù¸¥ Á¦º¸ÀÚµéÀÌ ½Å°íÇß´ø ¹ö±×¿Í °ü·ÃµÈ Á¤º¸¸¦ ¾ò±â ½±Áö ¾Ê´Ù. ÀÌ·¯ÇÑ ¿ä±¸¸¦ ¸¸Á·ÇÒ ¼ö ÀÖµµ·Ï ´Ù¾çÇÑ ½ÇÀü ¹ö±× ¹Ù¿îƼ »ç·Ê¸¦ ¼Ò°³ÇÏ´Â ÇÑÆí, Ãë¾àÁ¡À» ¹ß°ßÇÏ°í ±â¾÷¿¡ Á¦º¸ÇÏ´Â ÀÏ·ÃÀÇ °úÁ¤À» ¾Ë·ÁÁØ´Ù. ±â¾÷ÀÇ º¸¾È ´ã´çÀÚ»Ó¸¸ ¾Æ´Ï¶ó, ¹ö±× ¹Ù¿îƼ¿¡ Âü¿©ÇÏ´Â ÈÀÌÆ®ÇØÄ¿ ¸ðµÎ¿¡°Ô µµ¿òÀÌ µÉ °ÍÀÌ´Ù. ?Ã¥ÀÇ ÀϺΠ³»¿ëÀ» ¹Ì¸® Àо½Ç ¼ö ÀÖ½À´Ï´Ù. ¹Ì¸®º¸±â
ÀúÀÚ: ÇÇÅÍ ¾ß·Î½ºÅ° Àú/ÀÌÁøÈ£,±èÇö¹Î ¿ª
1Àå. ¹ö±× ¹Ù¿îƼ ±âº» »çÇ×
__Ãë¾àÁ¡°ú ¹ö±× ¹Ù¿îƼ
__Ŭ¶óÀ̾ðÆ®¿Í ¼¹ö
__À¥ »çÀÌÆ® ¹æ¹® ½Ã ¹ß»ýÇÏ´Â ÀÛ¾÷
____1´Ü°è: µµ¸ÞÀÎ À̸§ ÃßÃâ
____2´Ü°è: IP ÁÖ¼Ò È®ÀÎ
____3´Ü°è: TCP ¿¬°á ¼³Á¤
____4´Ü°è: HTTP ¿äû º¸³»±â
____5´Ü°è: ¼¹ö ÀÀ´ä
____6´Ü°è: ÀÀ´ä ·»´õ¸µ
__HTTP ¿äû
____¿äû ¸Þ¼µå
____HTTP »óÅ ºñÀúÀå
__¿ä¾à
2Àå. ¿ÀÇ ¸®µð·º¼Ç
__¿ÀÇ ¸®µð·º¼Ç ÀÛµ¿ ¹æ½Ä
__Shopify Å׸¶ ¼³Ä¡ ¿ÀÇ ¸®µð·º¼Ç
____½Ã»çÁ¡
__Shopify ·Î±×ÀÎ ¿±â ¸®µð·º¼Ç
____½Ã»çÁ¡
__ÇØÄ¿¿ø ÁøÀÔ ÆäÀÌÁö ¸®µð·º¼Ç
____½Ã»çÁ¡
__¿ä¾à
3Àå. HTTP ÆĶó¹ÌÅÍ ¿À¿°
__¼¹ö Ãø HPP
__Ŭ¶óÀ̾ðÆ® Ãø HPP
__ÇØÄ¿¿ø ¼Ò¼È °øÀ¯ ¹öÆ°
____½Ã»çÁ¡
__Æ®À§ÅÍ ±¸µ¶ Ãë¼Ò ¾Ë¸²
____½Ã»çÁ¡
__Æ®À§ÅÍ À¥ ÀÎÅÙÆ®
____½Ã»çÁ¡
__¿ä¾à
4Àå. CSRF
__ÀÎÁõ
__GET ¿äû ±â¹Ý CSRF
__POST ¿äû ±â¹Ý CSRF
__CSRF °ø°Ý¿¡ ´ëÇÑ ¹æ¾î
__Shopify Æ®À§ÅÍ ¿¬°á ²÷±â
____½Ã»çÁ¡
__Instacart »ç¿ëÀÚ ¹è¼Û Áö¿ª Á¶ÀÛ
____½Ã»çÁ¡
__Badoo Àüü °èÁ¤ Àå¾Ç
____½Ã»çÁ¡
__¿ä¾à
5Àå. HTML ÀÎÁ§¼Ç°ú ÄÜÅÙÃ÷ ½ºÇªÇÎ
__¹®ÀÚ ÀÎÄÚµùÀ» ÅëÇÑ ÄÚÀÎ º£À̽º ÁÖ¼® ÁÖÀÔ
____½Ã»çÁ¡
__ÇØÄ¿¿ø¿¡¼ ÀǵµÇÏÁö ¾ÊÀº HTML Æ÷ÇÔ
____½Ã»çÁ¡
__ÇØÄ¿¿øÀÇ ÀǵµÇÏÁö ¾ÊÀº HTML Æ÷ÇÔ ¼öÁ¤ ¿ìȸ
____½Ã»çÁ¡
__À§µåÀÎ ½ÃÅ¥¸®Æ¼ º¸¾È ÄÜÅÙÃ÷ ½ºÇªÇÎ
____½Ã»çÁ¡
__¿ä¾à
6Àå. ij¸®Áö ¸®ÅÏ ¶óÀÎÇǵå ÀÎÁ§¼Ç
__HTTP ¿äû ¹Ð¼ö
__v.shopify.com ÀÀ´ä ºÐÇÒ
____½Ã»çÁ¡
__Æ®À§ÅÍ HTTP ÀÀ´ä ºÐÇÒ
____½Ã»çÁ¡
__¿ä¾à
7Àå. Å©·Î½º»çÀÌÆ® ½ºÅ©¸³ÆÃ
__XSSÀÇ Á¾·ù
__Shopify µµ¸Å
____½Ã»çÁ¡
__Shopify ÅëÈ Çü½Ä
____½Ã»çÁ¡
__¾ßÈÄ! ¸ÞÀÏ ÀúÀå XSS
____½Ã»çÁ¡
__±¸±Û À̹ÌÁö °Ë»ö
____½Ã»çÁ¡
__Google ÅÂ±× °ü¸®ÀÚ¿¡ ÀúÀå XSS
____½Ã»çÁ¡
__À¯³ªÀÌƼµå Ç×°ø XSS
____½Ã»çÁ¡
__¿ä¾à
8Àå. ÅÛÇø´ ÀÎÁ§¼Ç
__¼¹ö Ãø ÅÛÇø´ ÀÎÁ§¼Ç
__Ŭ¶óÀ̾ðÆ® Ãø ÅÛÇø´ ÀÎÁ§¼Ç
__¿ì¹ö ¾Þ±Ö·¯JS ÅÛÇø´ ÀÎÁ§¼Ç
____½Ã»çÁ¡
__¿ì¹ö Çöó½ºÅ© ÁøÀÚ2 ÅÛÇø´ ÀÎÁ§¼Ç
____½Ã»çÁ¡
__·¹ÀÏÁî µ¿Àû ·»´õ¸µ
____½Ã»çÁ¡
__À¯´ÏÅ« Smarty ÅÛÇø´ ÀÎÁ§¼Ç
____½Ã»çÁ¡
__¿ä¾à
9Àå. SQL ÀÎÁ§¼Ç
__SQL µ¥ÀÌÅͺ£À̽º
__SQLi º¸¾È ´ëÃ¥
__¾ßÈÄ! ½ºÆ÷Ã÷ ºí¶óÀεå SQLi
____½Ã»çÁ¡
__¿ì¹ö ºí¶óÀεå SQLi
____½Ã»çÁ¡
__µå·çÆÈ SQLi
____½Ã»çÁ¡
__¿ä¾à
10Àå. ¼¹ö Ãø ¿äû À§Á¶
__SSRF ¿µÇâ·Â ½Ã¿¬
__GET°ú POST ¿äû È£Ãâ
__ºí¶óÀεå SSRF ¼öÇà
__SSRF ÀÀ´ä ±â¹Ý »ç¿ëÀÚ °ø°Ý
__ESEA SSRF¿Í AWS ¸ÞŸµ¥ÀÌÅÍ Äõ¸®
____½Ã»çÁ¡
__Google ³»ºÎ DNS SSRF
____½Ã»çÁ¡
__À¥ÈÄÅ©¸¦ »ç¿ëÇÑ ³»ºÎ Æ÷Æ® ½ºÄµ
____½Ã»çÁ¡
__¿ä¾à
11Àå. XML ¿ÜºÎ ¿£Æ¼Æ¼
__È®Àå °¡´ÉÇÑ ¸¶Å©¾÷ ¾ð¾î
____¹®¼ À¯Çü Á¤ÀÇ
____XML ¿£Æ¼Æ¼
__XXE °ø°ÝÀÇ ÀÛµ¿ ¹æ½Ä
__±¸±Û Àбâ Ãë¾àÁ¡
____½Ã»çÁ¡
__¸¶ÀÌÅ©·Î¼ÒÇÁÆ® ¿öµå¸¦ ÀÌ¿ëÇÑ ÆäÀ̽ººÏ XXE
____½Ã»çÁ¡
__Wikiloc XXE
____½Ã»çÁ¡
__¿ä¾à
12Àå. ¿ø°Ý ÄÚµå ½ÇÇà
__¼Ð ¸í·É ½ÇÇà
__½ÇÇà ±â´É
__¿ø°Ý ÄÚµå ½ÇÇà ±ÇÇÑ »ó½ÂÀ» À§ÇÑ Àü·«
__Polyvore ImageMagick
____½Ã»çÁ¡
__facebooksearch.algolia.comÀÇ Algolia RCE
____½Ã»çÁ¡
__SSH¸¦ ÅëÇÑ RCE
____½Ã»çÁ¡
__¿ä¾à
13Àå. ¸Þ¸ð¸® Ãë¾àÁ¡
__¹öÆÛ ¿À¹öÇ÷Î
__°æ°è¸¦ ¹þ¾î³ Àбâ
__PHP ftp_genlist() Á¤¼ö ¿À¹öÇ÷Î
____½Ã»çÁ¡
__ÆÄÀ̽ã Hotshot ¸ðµâ
____½Ã»çÁ¡
__libcurl °æ°è¸¦ ¹þ¾î³ Àбâ
____½Ã»çÁ¡
__¿ä¾à
14Àå. ¼ºêµµ¸ÞÀÎ Àμö
__µµ¸ÞÀÎ ³×ÀÓ ÀÌÇØ
__¼ºêµµ¸ÞÀÎ Àμö ¹æ¹ý
__Ubiquiti ¼ºêµµ¸ÞÀÎ Àμö
____½Ã»çÁ¡
__Á¨µ¥½ºÅ©¸¦ ÁöÁ¤ÇÏ´Â Scan.me
____½Ã»çÁ¡
__Windsor ¼ºêµµ¸ÞÀÎ Àμö
____½Ã»çÁ¡
__Snapchat Fastly Àμö
____½Ã»çÁ¡
__Legal Robot Àμö
____½Ã»çÁ¡
__¿ì¹ö ¼¾µå±×¸®µå ¸ÞÀÏ Àμö
____½Ã»çÁ¡
__¿ä¾à
15Àå. ·¹À̽º ÄÁµð¼Ç
__ÇØÄ¿¿ø ÃÊ´ë ´ÙÁß ¼ö¶ô
____½Ã»çÁ¡
__Keybase Çѵµ ÃÊ°ú ÃÊ´ë
____½Ã»çÁ¡
__ÇØÄ¿¿ø Áö±Þ ·¹À̽º ÄÁµð¼Ç
____½Ã»çÁ¡
__Shopify ÆÄÆ®³Ê ·¹À̽º ÄÁµð¼Ç
____½Ã»çÁ¡
__¿ä¾à
16Àå. ¾ÈÀüÇÏÁö ¾ÊÀº Á÷Á¢ °´Ã¼ ÂüÁ¶
__°£´ÜÇÑ IDOR ã±â
__´õ º¹ÀâÇÑ IDOR ã±â
__Binary.com ±ÇÇÑ »ó½Â
____½Ã»çÁ¡
__Moneybird ¾Û »ý¼º
____½Ã»çÁ¡
__Twitter Mopub API Å»Ãë
____½Ã»çÁ¡
__ACME °í°´ Á¤º¸ ³ëÃâ
____½Ã»çÁ¡
__¿ä¾à
17Àå. OAuth Ãë¾àÁ¡
__OAuth ÀÛ¾÷ È帧
__½½·¢ OAuth ÅäÅ« ÈÉÄ¡±â
____½Ã»çÁ¡
__µðÆúÆ® ºñ¹Ð¹øÈ£·Î ÀÎÁõ Àü´Þ
____½Ã»çÁ¡
__¸¶ÀÌÅ©·Î¼ÒÇÁÆ® ·Î±×ÀÎ ÅäÅ« µµ¿ë
____½Ã»çÁ¡
__ÆäÀ̽ººÏ °ø½Ä ¾×¼¼½º ÅäÅ« Àüȯ
____½Ã»çÁ¡
__¿ä¾à
18Àå. ¾ÖÇø®ÄÉÀÌ¼Ç ·ÎÁ÷°ú ±¸¼º Ãë¾àÁ¡
__Shopify °ü¸®ÀÚ ±ÇÇÑ ¿ìȸ
____½Ã»çÁ¡
__Æ®À§ÅÍ °èÁ¤ º¸È£ ¿ìȸ
____½Ã»çÁ¡
__ÇØÄ¿¿ø ½Ã±×³Î Á¶ÀÛ
____½Ã»çÁ¡
__ÇØÄ¿¿øÀÇ À߸øµÈ S3 ¹öŶ ±ÇÇÑ
____½Ã»çÁ¡
__GitLab ÀÌÁß ÀÎÁõ ¿ìȸ
____½Ã»çÁ¡
__¾ßÈÄ! PHP Á¤º¸ °ø°³
____½Ã»çÁ¡
__ÇØÄ¿¿ø Hacktivity ÅõÇ¥
____½Ã»çÁ¡
__PornHubÀÇ Memcache¿¡ Á¢±Ù
____½Ã»çÁ¡
__¿ä¾à
19Àå. ³ª¸¸ÀÇ ¹ö±× ¹Ù¿îƼ ã±â
__Á¤Âû
____¼ºêµµ¸ÞÀÎ ¿°Å
____Æ÷Æ® ½ºÄ³´×
____½ºÅ©¸°¼¦
____ÄÜÅÙÃ÷ ¹ß°ß
____ÀÌÀüÀÇ ¹ö±×
__¾ÖÇø®ÄÉÀÌ¼Ç Å×½ºÆ®
____±â¼ú ½ºÅÃ
____±â´É ¸ÅÇÎ
____Ãë¾àÁ¡ ã±â
__´õ ³ª¾Æ°¡±â
____ÀÛ¾÷ ÀÚµ¿È
____¸ð¹ÙÀÏ ¾Û »ìÆ캸±â
____»õ·Î¿î ±â´É ½Äº°
____ÀÚ¹Ù ½ºÅ©¸³Æ® ÆÄÀÏ ÃßÀû
____»õ·Î¿î ±â´É¿¡ ´ëÇÑ ºñ¿ë ÁöºÒ
____±â¼ú ÇнÀ
__¿ä¾à
20Àå. Ãë¾àÁ¡ º¸°í¼
__Á¤Ã¥ Àбâ
__¼¼ºÎ »çÇ× Æ÷ÇÔ
__Ãë¾àÁ¡ ÀçÈ®ÀÎ
__¿©·¯ºÐÀÇ ÆòÆÇ
__ȸ»ç¿¡ ´ëÇÑ Á¸°æ Ç¥½Ã
__¹Ù¿îƼ º¸»ó ¾îÇÊ
__¿ä¾à
__Ãë¾àÁ¡°ú ¹ö±× ¹Ù¿îƼ
__Ŭ¶óÀ̾ðÆ®¿Í ¼¹ö
__À¥ »çÀÌÆ® ¹æ¹® ½Ã ¹ß»ýÇÏ´Â ÀÛ¾÷
____1´Ü°è: µµ¸ÞÀÎ À̸§ ÃßÃâ
____2´Ü°è: IP ÁÖ¼Ò È®ÀÎ
____3´Ü°è: TCP ¿¬°á ¼³Á¤
____4´Ü°è: HTTP ¿äû º¸³»±â
____5´Ü°è: ¼¹ö ÀÀ´ä
____6´Ü°è: ÀÀ´ä ·»´õ¸µ
__HTTP ¿äû
____¿äû ¸Þ¼µå
____HTTP »óÅ ºñÀúÀå
__¿ä¾à
2Àå. ¿ÀÇ ¸®µð·º¼Ç
__¿ÀÇ ¸®µð·º¼Ç ÀÛµ¿ ¹æ½Ä
__Shopify Å׸¶ ¼³Ä¡ ¿ÀÇ ¸®µð·º¼Ç
____½Ã»çÁ¡
__Shopify ·Î±×ÀÎ ¿±â ¸®µð·º¼Ç
____½Ã»çÁ¡
__ÇØÄ¿¿ø ÁøÀÔ ÆäÀÌÁö ¸®µð·º¼Ç
____½Ã»çÁ¡
__¿ä¾à
3Àå. HTTP ÆĶó¹ÌÅÍ ¿À¿°
__¼¹ö Ãø HPP
__Ŭ¶óÀ̾ðÆ® Ãø HPP
__ÇØÄ¿¿ø ¼Ò¼È °øÀ¯ ¹öÆ°
____½Ã»çÁ¡
__Æ®À§ÅÍ ±¸µ¶ Ãë¼Ò ¾Ë¸²
____½Ã»çÁ¡
__Æ®À§ÅÍ À¥ ÀÎÅÙÆ®
____½Ã»çÁ¡
__¿ä¾à
4Àå. CSRF
__ÀÎÁõ
__GET ¿äû ±â¹Ý CSRF
__POST ¿äû ±â¹Ý CSRF
__CSRF °ø°Ý¿¡ ´ëÇÑ ¹æ¾î
__Shopify Æ®À§ÅÍ ¿¬°á ²÷±â
____½Ã»çÁ¡
__Instacart »ç¿ëÀÚ ¹è¼Û Áö¿ª Á¶ÀÛ
____½Ã»çÁ¡
__Badoo Àüü °èÁ¤ Àå¾Ç
____½Ã»çÁ¡
__¿ä¾à
5Àå. HTML ÀÎÁ§¼Ç°ú ÄÜÅÙÃ÷ ½ºÇªÇÎ
__¹®ÀÚ ÀÎÄÚµùÀ» ÅëÇÑ ÄÚÀÎ º£À̽º ÁÖ¼® ÁÖÀÔ
____½Ã»çÁ¡
__ÇØÄ¿¿ø¿¡¼ ÀǵµÇÏÁö ¾ÊÀº HTML Æ÷ÇÔ
____½Ã»çÁ¡
__ÇØÄ¿¿øÀÇ ÀǵµÇÏÁö ¾ÊÀº HTML Æ÷ÇÔ ¼öÁ¤ ¿ìȸ
____½Ã»çÁ¡
__À§µåÀÎ ½ÃÅ¥¸®Æ¼ º¸¾È ÄÜÅÙÃ÷ ½ºÇªÇÎ
____½Ã»çÁ¡
__¿ä¾à
6Àå. ij¸®Áö ¸®ÅÏ ¶óÀÎÇǵå ÀÎÁ§¼Ç
__HTTP ¿äû ¹Ð¼ö
__v.shopify.com ÀÀ´ä ºÐÇÒ
____½Ã»çÁ¡
__Æ®À§ÅÍ HTTP ÀÀ´ä ºÐÇÒ
____½Ã»çÁ¡
__¿ä¾à
7Àå. Å©·Î½º»çÀÌÆ® ½ºÅ©¸³ÆÃ
__XSSÀÇ Á¾·ù
__Shopify µµ¸Å
____½Ã»çÁ¡
__Shopify ÅëÈ Çü½Ä
____½Ã»çÁ¡
__¾ßÈÄ! ¸ÞÀÏ ÀúÀå XSS
____½Ã»çÁ¡
__±¸±Û À̹ÌÁö °Ë»ö
____½Ã»çÁ¡
__Google ÅÂ±× °ü¸®ÀÚ¿¡ ÀúÀå XSS
____½Ã»çÁ¡
__À¯³ªÀÌƼµå Ç×°ø XSS
____½Ã»çÁ¡
__¿ä¾à
8Àå. ÅÛÇø´ ÀÎÁ§¼Ç
__¼¹ö Ãø ÅÛÇø´ ÀÎÁ§¼Ç
__Ŭ¶óÀ̾ðÆ® Ãø ÅÛÇø´ ÀÎÁ§¼Ç
__¿ì¹ö ¾Þ±Ö·¯JS ÅÛÇø´ ÀÎÁ§¼Ç
____½Ã»çÁ¡
__¿ì¹ö Çöó½ºÅ© ÁøÀÚ2 ÅÛÇø´ ÀÎÁ§¼Ç
____½Ã»çÁ¡
__·¹ÀÏÁî µ¿Àû ·»´õ¸µ
____½Ã»çÁ¡
__À¯´ÏÅ« Smarty ÅÛÇø´ ÀÎÁ§¼Ç
____½Ã»çÁ¡
__¿ä¾à
9Àå. SQL ÀÎÁ§¼Ç
__SQL µ¥ÀÌÅͺ£À̽º
__SQLi º¸¾È ´ëÃ¥
__¾ßÈÄ! ½ºÆ÷Ã÷ ºí¶óÀεå SQLi
____½Ã»çÁ¡
__¿ì¹ö ºí¶óÀεå SQLi
____½Ã»çÁ¡
__µå·çÆÈ SQLi
____½Ã»çÁ¡
__¿ä¾à
10Àå. ¼¹ö Ãø ¿äû À§Á¶
__SSRF ¿µÇâ·Â ½Ã¿¬
__GET°ú POST ¿äû È£Ãâ
__ºí¶óÀεå SSRF ¼öÇà
__SSRF ÀÀ´ä ±â¹Ý »ç¿ëÀÚ °ø°Ý
__ESEA SSRF¿Í AWS ¸ÞŸµ¥ÀÌÅÍ Äõ¸®
____½Ã»çÁ¡
__Google ³»ºÎ DNS SSRF
____½Ã»çÁ¡
__À¥ÈÄÅ©¸¦ »ç¿ëÇÑ ³»ºÎ Æ÷Æ® ½ºÄµ
____½Ã»çÁ¡
__¿ä¾à
11Àå. XML ¿ÜºÎ ¿£Æ¼Æ¼
__È®Àå °¡´ÉÇÑ ¸¶Å©¾÷ ¾ð¾î
____¹®¼ À¯Çü Á¤ÀÇ
____XML ¿£Æ¼Æ¼
__XXE °ø°ÝÀÇ ÀÛµ¿ ¹æ½Ä
__±¸±Û Àбâ Ãë¾àÁ¡
____½Ã»çÁ¡
__¸¶ÀÌÅ©·Î¼ÒÇÁÆ® ¿öµå¸¦ ÀÌ¿ëÇÑ ÆäÀ̽ººÏ XXE
____½Ã»çÁ¡
__Wikiloc XXE
____½Ã»çÁ¡
__¿ä¾à
12Àå. ¿ø°Ý ÄÚµå ½ÇÇà
__¼Ð ¸í·É ½ÇÇà
__½ÇÇà ±â´É
__¿ø°Ý ÄÚµå ½ÇÇà ±ÇÇÑ »ó½ÂÀ» À§ÇÑ Àü·«
__Polyvore ImageMagick
____½Ã»çÁ¡
__facebooksearch.algolia.comÀÇ Algolia RCE
____½Ã»çÁ¡
__SSH¸¦ ÅëÇÑ RCE
____½Ã»çÁ¡
__¿ä¾à
13Àå. ¸Þ¸ð¸® Ãë¾àÁ¡
__¹öÆÛ ¿À¹öÇ÷Î
__°æ°è¸¦ ¹þ¾î³ Àбâ
__PHP ftp_genlist() Á¤¼ö ¿À¹öÇ÷Î
____½Ã»çÁ¡
__ÆÄÀ̽ã Hotshot ¸ðµâ
____½Ã»çÁ¡
__libcurl °æ°è¸¦ ¹þ¾î³ Àбâ
____½Ã»çÁ¡
__¿ä¾à
14Àå. ¼ºêµµ¸ÞÀÎ Àμö
__µµ¸ÞÀÎ ³×ÀÓ ÀÌÇØ
__¼ºêµµ¸ÞÀÎ Àμö ¹æ¹ý
__Ubiquiti ¼ºêµµ¸ÞÀÎ Àμö
____½Ã»çÁ¡
__Á¨µ¥½ºÅ©¸¦ ÁöÁ¤ÇÏ´Â Scan.me
____½Ã»çÁ¡
__Windsor ¼ºêµµ¸ÞÀÎ Àμö
____½Ã»çÁ¡
__Snapchat Fastly Àμö
____½Ã»çÁ¡
__Legal Robot Àμö
____½Ã»çÁ¡
__¿ì¹ö ¼¾µå±×¸®µå ¸ÞÀÏ Àμö
____½Ã»çÁ¡
__¿ä¾à
15Àå. ·¹À̽º ÄÁµð¼Ç
__ÇØÄ¿¿ø ÃÊ´ë ´ÙÁß ¼ö¶ô
____½Ã»çÁ¡
__Keybase Çѵµ ÃÊ°ú ÃÊ´ë
____½Ã»çÁ¡
__ÇØÄ¿¿ø Áö±Þ ·¹À̽º ÄÁµð¼Ç
____½Ã»çÁ¡
__Shopify ÆÄÆ®³Ê ·¹À̽º ÄÁµð¼Ç
____½Ã»çÁ¡
__¿ä¾à
16Àå. ¾ÈÀüÇÏÁö ¾ÊÀº Á÷Á¢ °´Ã¼ ÂüÁ¶
__°£´ÜÇÑ IDOR ã±â
__´õ º¹ÀâÇÑ IDOR ã±â
__Binary.com ±ÇÇÑ »ó½Â
____½Ã»çÁ¡
__Moneybird ¾Û »ý¼º
____½Ã»çÁ¡
__Twitter Mopub API Å»Ãë
____½Ã»çÁ¡
__ACME °í°´ Á¤º¸ ³ëÃâ
____½Ã»çÁ¡
__¿ä¾à
17Àå. OAuth Ãë¾àÁ¡
__OAuth ÀÛ¾÷ È帧
__½½·¢ OAuth ÅäÅ« ÈÉÄ¡±â
____½Ã»çÁ¡
__µðÆúÆ® ºñ¹Ð¹øÈ£·Î ÀÎÁõ Àü´Þ
____½Ã»çÁ¡
__¸¶ÀÌÅ©·Î¼ÒÇÁÆ® ·Î±×ÀÎ ÅäÅ« µµ¿ë
____½Ã»çÁ¡
__ÆäÀ̽ººÏ °ø½Ä ¾×¼¼½º ÅäÅ« Àüȯ
____½Ã»çÁ¡
__¿ä¾à
18Àå. ¾ÖÇø®ÄÉÀÌ¼Ç ·ÎÁ÷°ú ±¸¼º Ãë¾àÁ¡
__Shopify °ü¸®ÀÚ ±ÇÇÑ ¿ìȸ
____½Ã»çÁ¡
__Æ®À§ÅÍ °èÁ¤ º¸È£ ¿ìȸ
____½Ã»çÁ¡
__ÇØÄ¿¿ø ½Ã±×³Î Á¶ÀÛ
____½Ã»çÁ¡
__ÇØÄ¿¿øÀÇ À߸øµÈ S3 ¹öŶ ±ÇÇÑ
____½Ã»çÁ¡
__GitLab ÀÌÁß ÀÎÁõ ¿ìȸ
____½Ã»çÁ¡
__¾ßÈÄ! PHP Á¤º¸ °ø°³
____½Ã»çÁ¡
__ÇØÄ¿¿ø Hacktivity ÅõÇ¥
____½Ã»çÁ¡
__PornHubÀÇ Memcache¿¡ Á¢±Ù
____½Ã»çÁ¡
__¿ä¾à
19Àå. ³ª¸¸ÀÇ ¹ö±× ¹Ù¿îƼ ã±â
__Á¤Âû
____¼ºêµµ¸ÞÀÎ ¿°Å
____Æ÷Æ® ½ºÄ³´×
____½ºÅ©¸°¼¦
____ÄÜÅÙÃ÷ ¹ß°ß
____ÀÌÀüÀÇ ¹ö±×
__¾ÖÇø®ÄÉÀÌ¼Ç Å×½ºÆ®
____±â¼ú ½ºÅÃ
____±â´É ¸ÅÇÎ
____Ãë¾àÁ¡ ã±â
__´õ ³ª¾Æ°¡±â
____ÀÛ¾÷ ÀÚµ¿È
____¸ð¹ÙÀÏ ¾Û »ìÆ캸±â
____»õ·Î¿î ±â´É ½Äº°
____ÀÚ¹Ù ½ºÅ©¸³Æ® ÆÄÀÏ ÃßÀû
____»õ·Î¿î ±â´É¿¡ ´ëÇÑ ºñ¿ë ÁöºÒ
____±â¼ú ÇнÀ
__¿ä¾à
20Àå. Ãë¾àÁ¡ º¸°í¼
__Á¤Ã¥ Àбâ
__¼¼ºÎ »çÇ× Æ÷ÇÔ
__Ãë¾àÁ¡ ÀçÈ®ÀÎ
__¿©·¯ºÐÀÇ ÆòÆÇ
__ȸ»ç¿¡ ´ëÇÑ Á¸°æ Ç¥½Ã
__¹Ù¿îƼ º¸»ó ¾îÇÊ
__¿ä¾à
ÀÌ Ã¥¿¡¼ ´Ù·ç´Â ³»¿ë
¡á ÀÎÅͳÝÀÇ ÀÛµ¿ ¹æ¹ý°ú ±âº» À¥ ÇØÅ· °³³ä
¡á °ø°ÝÀÚ°¡ À¥ »çÀÌÆ®¸¦ Àå¾ÇÇÏ´Â ¹æ¹ý
¡á Ãë¾àÁ¡°ú °ü·ÃµÈ ±â´ÉÀ» ½Äº°ÇÏ´Â ¹æ¹ý
¡á ¹ö±×¸¦ ã±â ½ÃÀÛÇÒ ¶§ ã¾ÆºÁ¾ß ÇÒ ÁöÁ¡
¡á È¿°úÀûÀÎ ¹ö±× ¹Ù¿îƼ ÇÁ·Î±×·¥ Ž»ö°ú Ãë¾àÁ¡ º¸°í¼ Á¦Ãâ ¹æ¹ý
ÀÌ Ã¥ÀÇ ´ë»ó µ¶ÀÚ
Ãʺ¸ ÇØÄ¿¸¦ ¿°µÎ¿¡ µÎ°í ÀÛ¼ºÇß´Ù. À¥ °³¹ßÀÚ, À¥ µðÀÚÀ̳Ê, °¡Á¤À» ²Ù¸®°í ÀÖ´Â ºÎ¸ð, 10»ìÂ¥¸® ¾ÆÀÌ ¶Ç´Â 75¼¼ ÅðÁ÷ÀÚµµ »ó°ü¾ø´Ù. ÀϺΠÇÁ·Î±×·¡¹Ö °æÇè°ú À¥ ±â¼ú¿¡ Àͼ÷ÇÏ¸é µµ¿òÀÌ µÉ ¼ö ÀÖ´Ù. HTML(Hypertext Markup Language)ÀÌ ±¸Á¶¸¦ Á¤ÀÇÇÏ´Â ¹æ¹ý°ú CSS(Cascading Style Sheets)°¡ ¸ð¾çÀ» Á¤ÀÇÇÏ´Â ¹æ¹ý, ÀÚ¹Ù½ºÅ©¸³Æ®°¡ µ¿ÀûÀ¸·Î »óÈ£ÀÛ¿ëÇÏ´Â ¹æ¹ýÀ» ÀÌÇØÇϸé Ãë¾àÁ¡À» ¹ß°ßÇÏ°í ¹ß°ßÇÑ ¹ö±×ÀÇ Æı޷ÂÀ» ÀÎÁöÇÏ´Â µ¥ µµ¿òµÉ °ÍÀÌ´Ù.
¾ÖÇø®ÄÉÀ̼ÇÀÇ ·ÎÁ÷°ú °ü·ÃµÈ Ãë¾àÁ¡À» ¹ß°ßÇÏ°í °³¹ßÀÚ°¡ ½Ç¼ö¸¦ ÀúÁö¸£´Â ¹æ¹ý°ú °ü·ÃµÈ ºê·¹ÀνºÅä¹ÖÀ» ÇÒ ¶§ ÇÁ·Î±×·¡¹Ö ¹æ¹ýÀ» ¾Æ´Â °ÍÀÌ µµ¿òÀÌ µÈ´Ù. ÇÁ·Î±×·¡¸Ó ¾÷°è¿¡ Á¾»çÇ߰ųª ±¸Çö ¹æ¹ýÀ» ÃßÃøÇÒ ¼ö Àְųª (°¡´ÉÇÑ °æ¿ì) Äڵ带 ÀÐÀ» ¼ö ÀÖ´Ù¸é ¼º°ø È®·üÀÌ ³ô¾ÆÁø´Ù.
ÀÌ Ã¥ÀÇ ±¸¼º
¡®1Àå: ¹ö±× ¹Ù¿îƼ ±âº» »çÇס¯Àº Ãë¾àÁ¡°ú ¹ö±× ¹Ù¿îƼ°¡ ¹«¾ùÀ̸ç Ŭ¶óÀ̾ðÆ®¿Í ¼¹öÀÇ Â÷ÀÌÁ¡À» ¼³¸íÇÑ´Ù. ¶ÇÇÑ HTTP ¿äû, ÀÀ´ä ¹× ¹æ¹ýÀ» Æ÷ÇÔÇØ ÀÎÅÍ³Ý ÀÛµ¿ ¹æ½Ä°ú HTTP »óÅ ºñÀúÀå(stateless)À» ¼³¸íÇÑ´Ù.
¡®2Àå: ¿ÀÇ ¸®µð·º¼Ç¡¯Àº ƯÁ¤ µµ¸ÞÀÎÀÇ ½Å·Ú¸¦ ¾Ç¿ëÇØ »ç¿ëÀÚ¸¦ ´Ù¸¥ µµ¸ÞÀÎÀ¸·Î ¸®µð·º¼ÇÇÏ´Â °ø°ÝÀ» ´Ù·é´Ù.
¡®3Àå: HTTP ÆĶó¹ÌÅÍ ¿À¿°¡¯Àº °ø°ÝÀÚ°¡ HTTP ¿äûÀ» ó¸®ÇÏ´Â ¹æ¹ýÀ» ´Ù·ç¸ç, Ãë¾àÇÑ ´ë»ó À¥ »çÀÌÆ®¿¡¼ ½Å·ÚÇÏÁö¸¸ ¿¹±âÄ¡ ¾ÊÀº µ¿ÀÛÀ» À¯¹ßÇÏ´Â Ãß°¡ ÆĶó¹ÌÅ͸¦ ÁÖÀÔÇÑ´Ù.
¡®4Àå: CSRF(Cross Site Request Forgery)¡¯´Â °ø°ÝÀÚ°¡ ¾Ç¼º À¥ »çÀÌÆ®¸¦ »ç¿ëÇØ °ø°Ý ´ë»ó ºê¶ó¿ìÀú°¡ ´Ù¸¥ À¥ »çÀÌÆ®¿¡ HTTP ¿äûÀ» º¸³»µµ·Ï ÇÏ´Â ¹æ¹ýÀ» ´Ù·é´Ù.
¡®5Àå: HTML ÀÎÁ§¼Ç(injection) ¹× ÄÜÅÙÃ÷ ½ºÇªÇÎ(spoofing)¡¯Àº ¾Ç¼º »ç¿ëÀÚ°¡ ÀÚüÀûÀ¸·Î ¼³°èÇÑ HTML ¿ä¼Ò¸¦ °ø°Ý ´ë»ó »çÀÌÆ®ÀÇ À¥ ÆäÀÌÁö¿¡ ÁÖÀÔÇÏ´Â ¹æ¹ýÀ» ¼³¸íÇÑ´Ù.
¡®6Àå: ij¸®Áö ¸®ÅÏ ¶óÀÎÇǵå(Carriage Return Line Feed) ÀÎÁ§¼Ç¡¯Àº °ø°ÝÀÚ°¡ ÀÎÄÚµùÇÑ ¹®ÀÚ¸¦ HTTP ¸Þ½ÃÁö¿¡ »ðÀÔÇØ ¼¹ö, ÇÁ·Ï½Ã ¹× ºê¶ó¿ìÀú°¡ ¹®ÀÚ Çؼ®ÇÏ´Â ¹æ½ÄÀ» º¯°æÇÏ´Â ¹æ¹ýÀ» º¸¿©ÁØ´Ù.
¡®7Àå: Å©·Î½º »çÀÌÆ® ½ºÅ©¸³ÆÃ(Cross Site Scripting, XSS)¡¯Àº °ø°ÝÀÚ°¡ »çÀÌÆ®¿¡¼ ÀÚü JavaScript Äڵ带 ½ÇÇàÇϱâ À§ÇØ »ç¿ëÀÚ ÀÔ·ÂÀ» °ËÁõÇÏÁö ¾Ê´Â »çÀÌÆ®¸¦ ¾Ç¿ëÇÏ´Â ¹æ¹ýÀ» ¼³¸íÇÑ´Ù.
¡®8Àå: ÅÛÇø´ ÀÎÁ§¼Ç¡¯Àº ÅÛÇø´¿¡¼ »ç¿ëÇÏ´Â »çÀÌÆ®¿¡¼ »ç¿ëÀÚ ÀÔ·ÂÀ» °ËÁõÇÏÁö ¾ÊÀ» ¶§ °ø°ÝÀÚ°¡ ÅÛÇø´ ¿£ÁøÀ» ¾Ç¿ëÇÏ´Â ¹æ¹ýÀ» ¼³¸íÇÑ´Ù. ÀÌ Àå¿¡´Â Ŭ¶óÀ̾ðÆ® ¹× ¼¹ö Ãø »ç·Ê°¡ ¼ö·ÏµÅ ÀÖ´Ù.
¡®9Àå: SQL ÀÎÁ§¼Ç¡¯Àº µ¥ÀÌÅͺ£À̽º ±â¹Ý »çÀÌÆ®ÀÇ Ãë¾àÁ¡À¸·Î ÀÎÇØ °ø°ÝÀÚ°¡ »çÀÌÆ® µ¥ÀÌÅͺ£À̽º¸¦ ´ë»óÀ¸·Î ¿¹»ó ¹ÛÀÇ Äõ¸®¸¦ Àü´ÞÇϰųª °ø°ÝÇÏ´Â ¹æ¹ýÀ» ¼³¸íÇÑ´Ù.
¡®10Àå: SSRF(Server Side Request Forgery)¡¯´Â ħÀÔÀÚ°¡ ¼¹ö°¡ ÀǵµÇÏÁö ¾ÊÀº ³×Æ®¿öÅ© ¿äûÀ» ¼öÇàÇÏ°Ô ÇÏ´Â ¹æ¹ýÀ» ¼³¸íÇÑ´Ù.
¡®11Àå: XML ¿ÜºÎ ¿£Æ¼Æ¼¡¯´Â °ø°ÝÀÚ°¡ ¾ÖÇø®ÄÉÀ̼ÇÀÌ XML ÀÔ·ÂÀÇ ±¸¹® ºÐ¼®À» ÇÏ°í ÀÔ·Â °ª¿¡ ¿ÜºÎ ¿£Æ¼Æ¼¸¦ Æ÷ÇÔ½ÃÄÑ Ã³¸®ÇÏ´Â ¹æ½ÄÀ» ¾Ç¿ëÇÏ´Â ¹æ¹ýÀ» º¸¿©ÁØ´Ù.
¡®12Àå: ¿ø°Ý ÄÚµå ½ÇÇ࡯Àº °ø°ÝÀÚ°¡ ¼¹ö³ª ¾ÖÇø®ÄÉÀ̼ÇÀ» Á¶ÀÛÇØ °ø°ÝÀÚÀÇ Äڵ带 ½ÇÇàÇÏ´Â ¹æ¹ýÀ» ¼³¸íÇÑ´Ù.
¡®13Àå: ¸Þ¸ð¸® Ãë¾àÁ¡¡¯Àº °ø°ÝÀÚ°¡ ¾ÖÇø®ÄÉÀ̼ÇÀÇ ¸Þ¸ð¸® °ü¸®¸¦ Á¶ÀÛÇØ °ø°ÝÀÚ°¡ »ðÀÔÇÑ ¸í·É ½ÇÇà ¹× ÀǵµÇÏÁö ¾ÊÀº µ¿ÀÛÀ» ÀÏÀ¸Å°´Â ¹æ¹ýÀ» ¼³¸íÇÑ´Ù.
¡®14Àå: ¼ºêµµ¸ÞÀÎ Àμö¡¯´Â °ø°ÝÀÚ°¡ ÇÕ¹ýÀûÀÎ µµ¸ÞÀÎÀ» ´ë½ÅÇØ ¼ºêµµ¸ÞÀÎÀ» Á¦¾îÇÒ ¼ö ÀÖ´Â °æ¿ì ¼ºêµµ¸ÞÀÎÀ» Àå¾ÇÇÏ´Â ¹æ¹ýÀ» º¸¿©ÁØ´Ù.
¡®15Àå: ·¹À̽º ÄÁµð¼Ç(race condition)¡¯¿¡¼´Â °ø°ÝÀÚ°¡ ÇÁ·Î¼¼½º°¡ ½ÇÇàµÉ ¶§ À¯È¿ÇÏÁö ¾ÊÀº Ãʱâ Á¶°ÇÀ» ±â¹ÝÀ¸·Î »çÀÌÆ®ÀÇ ÇÁ·Î¼¼½º°¡ ¿Ï·áµÉ ¶§ »óȲÀ» Á¶ÀÛÇÏ´Â ¹æ¹ýÀ» º¸¿©ÁØ´Ù.
¡®16Àå: ¾ÈÀüÇÏÁö ¾ÊÀº Á÷Á¢ °´Ã¼ ÂüÁ¶¡¯´Â °ø°ÝÀÚ°¡ Á¢±ÙÇÒ ¼ö ¾ø´Â ÆÄÀÏ, µ¥ÀÌÅͺ£À̽º ·¹ÄÚµå ¶Ç´Â °èÁ¤°ú °°Àº °³Ã¼¿¡ ´ëÇÑ ÂüÁ¶¸¦ Á¢±ÙÇϰųª ¼öÁ¤ÇÒ ¼ö ÀÖÀ» ¶§ ¹ß»ýÇÏ´Â Ãë¾àÁ¡À» ´Ù·é´Ù.
¡®17Àå: OAuth Ãë¾àÁ¡¡¯Àº À¥, ¸ð¹ÙÀÏ ¹× µ¥½ºÅ©Åé ¾ÖÇø®ÄÉÀ̼ÇÀÇ º¸¾È ±ÇÇÑÀ» ´Ü¼øÈÇÏ°í Ç¥ÁØÈÇϵµ·Ï ¼³°èµÈ OAuth ÇÁ·ÎÅäÄÝ ±¸Çö »óÀÇ ¹ö±×¸¦ ´Ù·é´Ù.
¡®18Àå: ¾ÖÇø®ÄÉÀÌ¼Ç ·ÎÁ÷ ¹× ±¸¼º Ãë¾àÁ¡¡¯Àº °ø°ÝÀÚ°¡ ÄÚµù ·ÎÁ÷ ¶Ç´Â ¾ÖÇø®ÄÉÀÌ¼Ç ±¸¼º ½Ç¼ö¸¦ Á¶ÀÛÇؼ »çÀÌÆ®¿¡¼ ÀǵµÇÏÁö ¾ÊÀº µ¿ÀÛÀ» ¼öÇàÇØ Ãë¾àÁ¡À» À¯¹ßÇÏ´Â ¹æ¹ýÀ» ¼³¸íÇÑ´Ù.
¡®19Àå: ³ª¸¸ÀÇ ¹ö±× ¹Ù¿îƼ ã±â¡¯´Â ÀúÀÚÀÇ °æÇè°ú ¹æ¹ý·Ð¿¡ µû¶ó Ãë¾àÁ¡À» ã´Â À§Ä¡¿Í ¹æ¹ý¿¡ ´ëÇÑ ÆÁÀ» ¾Ë·ÁÁØ´Ù. ÀÌ ÀåÀº »çÀÌÆ® ÇØÅ·¿¡ ´ëÇÑ ´Ü°èº° °¡À̵尡 ¾Æ´Ï´Ù.
¡®20Àå: Ãë¾àÁ¡ º¸°íÇϱ⡯´Â ¹ö±× ¹Ù¿îƼ ÇÁ·Î±×·¥¿¡¼ ¹ö±×¸¦ °ÅºÎÇÏÁö ¾Êµµ·Ï ½Å·ÚÇÒ ¼ö ÀÖ°í À¯¿ëÇÑ Ãë¾àÁ¡ º¸°í¼¸¦ ÀÛ¼ºÇÏ´Â ¹æ¹ýÀ» ¼³¸íÇÑ´Ù.
¡®ºÎ·Ï A: µµ±¸¡¯´Â À¥ Æ®·¡ÇÈ ÇÁ·Ï½Ã, ÇÏÀ§ µµ¸ÞÀÎ ¿°Å, ½ºÅ©¸°¼¦ µîÀ» Æ÷ÇÔÇÏ¿© ÇØÅ·À» À§ÇØ ¼³°èµÈ ´ëÁßÀûÀÎ µµ±¸¸¦ ¼³¸íÇÑ´Ù.
¡®ºÎ·Ï B: Ãß°¡Àڷᡯ¿¡´Â ÇØÅ· Áö½ÄÀ» ´õ¿í Æø³Ð°Ô È®Àå½ÃÅ°±â À§ÇÑ Ãß°¡ ÀڷḦ ³ª¿Çß´Ù. ¿©±â¿¡´Â ¿Â¶óÀÎ ±³À°, ´ëÁßÀûÀÎ ¹Ù¿îƼ Ç÷§Æû, Ãßõ ºí·Î±× µîÀÌ ÀÖ´Ù.
ÁöÀºÀÌÀÇ ¸»
°ø°³µÈ Ãë¾àÁ¡ º¸°í¼¸¦ Àаí ÀϺΠÇØÄ¿°¡ ¼ö·ÉÇÏ´Â Æ÷»ó±ÝÀ» º¸¸é ÇØÅ·ÀÌ ½±°í ºü¸£°Ô ºÎÀÚ°¡ µÇ´Â ¹æ¹ýÀ̶ó°í »ý°¢ÇÒ ¼ö ÀÖ´Ù. ÇÏÁö¸¸ Çö½ÇÀº ±×·¸Áö ¾Ê´Ù. ÇØÅ·Àº º¸¶÷À» ÀÖÀ» ¼ö ÀÖÁö¸¸ ±× °úÁ¤¿¡¼ÀÇ ½ÇÆи¦ ´Ù·é À̾߱â´Â ã±â Èûµé´Ù(ÀÌ Ã¥¿¡¼´Â ¿¹¿ÜÀûÀ¸·Î °³ÀÎÀûÀÎ ±²ÀåÈ÷ ³Ã³Çß´ø °æÇèÀ» °øÀ¯ÇÒ °ÍÀÌ´Ù). ÇØÅ·¿¡ ¼º°øÇÑ °ÍÀº ´ëºÎºÐ ÀüÇصéÀ» ¼ö Àֱ⠶§¹®¿¡ ÇØÅ·¿¡ °üÇØ ºñÇö½ÇÀûÀÎ ±â´ë¸¦ Ç°À» ¼ö ÀÖ´Ù.
¿©·¯ºÐÀº ±²ÀåÈ÷ ºü¸£°Ô ¼º°øÇÒ ¼öµµ ÀÖ´Ù. ±×·¯³ª ¹ö±×¸¦ ¹ß°ßÇÏ´Â °ÍÀº ±²ÀåÈ÷ ¾î·Æ±â ¶§¹®¿¡ °è¼ÓÇؼ ¹ß°ßÇÏ·Á°í ½ÃµµÇÏÀÚ. °³¹ßÀÚ´Â Ç×»ó »õ·Î¿î Äڵ带 ÀÛ¼ºÇÏ¸ç ¹ö±×´Â Ç×»ó ÇÁ·Î´ö¼Ç ȯ°æÀ¸·Î Àü´ÞµÉ °ÍÀÌ´Ù. ¸¹ÀÌ ½ÃµµÇÒ¼ö·Ï ¹ö±×¸¦ Ž»öÇÏ´Â °úÁ¤Àº ´õ¿í ½¬¿öÁú °ÍÀÌ´Ù.
Æ®À§ÅÍ @yaworsk °èÁ¤À¸·Î ÀÚÀ¯·Ó°Ô ¸Þ¼¼Áö¸¦ º¸³»°í ÁøÇà »óȲÀ» ¾Ë·ÁÁֱ⸦ ¹Ù¶õ´Ù. ºñ·Ï ½ÇÆÐÇß´õ¶óµµ, ³ª´Â ¿©·¯ºÐÀÇ À̾߱⸦ µè°í ½Í´Ù. °í±ººÐÅõÇÏ°í ÀÖ´Ù¸é ¹ö±×¸¦ ã´Â ÀÏÀº ¿Ü·Î¿î ÀÛ¾÷ÀÏ ¼ö ÀÖ´Ù. ÇÏÁö¸¸ ¼·Î ÃàÇÏÇÏ´Â °ÍÀº ÁÁÀº ÀÏÀ̸ç, ÀÌ Ã¥ÀÇ ´ÙÀ½ ÆÇ¿¡ Æ÷ÇÔ½Ãų ¸¸ÇÑ ¹ö±×¸¦ ãÀ» ¼öµµ ÀÖÀ» °ÍÀÌ´Ù.
¿Å±äÀÌÀÇ ¸»
±â¾÷ÀÇ ¼ºñ½º ¹× Á¦Ç°À» ÇØÅ·ÇØ Ãë¾àÁ¡À» ãÀº ÇØÄ¿¿¡°Ô Æ÷»ó±ÝÀ» ÁÖ´Â Á¦µµÀÎ ¡®¹ö±× ¹Ù¿îƼ(bug bounty)¡¯ÀÇ ´ëÇ¥ÀûÀÎ Ç÷§ÆûÀ¸·Î ÇØÄ¿¿ø(HackerOne.com)ÀÌ ÀÖ´Ù. ÇØÄ¿¿ø¿¡¼´Â ±Û·Î¹ú ±â¾÷µé°ú Á¦ÈÞ¸¦ ¸Î°í À¥ Ãë¾àÁ¡À» Á¢¼öÇØ ½É»ç¸¦ °ÅÃÄ Æ÷»ó±ÝÀ» Áö±ÞÇÏ°í ÀÖ´Ù. ÇØÄ¿¿ø »çÀÌÆ®¿¡ µî·ÏµÈ ¹ö±×¸¦ »ìÆ캸¸é ¼öÁØ ³ôÀº À¥ ÇØÅ· ±â¼ú·Î Ãë¾àÁ¡À» ¹ß°ßÇÑ »ç·Êµµ ÀÖÁö¸¸, °³¹ßÀÚµéÀÌ ¿¹»óÄ¡ ¸øÇÑ ÇãÁ¡À» ¹ß°ßÇØ µÎµÏÇÑ Æ÷»ó±ÝÀ» ì°Ü°¡´Â °æ¿ìµµ º¼ ¼ö ÀÖ´Ù. ÀÌ·¯ÇÑ ¹ö±×¸¦ ã´Â °ÍÀº »ý°¢º¸´Ù ÁøÀÔ À庮ÀÌ ÀÖ¾î ¹ö±× ÇåÆÿ¡ ÀÔ¹®ÇÑ ¸¹Àº µµÀüÀÚµéÀÌ ±Ý¹æ Æ÷±âÇϰųª ÀüÇô ¼ÒµæÀ» ¿Ã¸®Áö ¸øÇÑ´Ù.
¹ö±×¸¦ ã±â À§ÇØ °¡Àå Áß¿äÇÑ °ÍÀº ¹Ù·Î ½ÇÀü °æÇè°ú ³ëÇÏ¿ì´Ù. ÀÌ·¯ÇÑ ½ÇÀü °æÇèÀ» ½ÀµæÇϱâ À§ÇØ ¸¹Àº ½Ã°£°ú ³ë·ÂÀ» µé¿© ÇØÄ¿¿ø¿¡ µî·ÏµÈ Ãë¾àÁ¡ ºÐ¼® º¸°í¼¸¦ È®ÀÎÇØ°¡¸ç À¥ ÇØÅ· ±â¹ý°ú ³ëÇϿ츦 ¹è¿ö¾ß ÇÑ´Ù. ÀÌ Ã¥¿¡¼´Â ¹ö±× ¹Ù¿îƼ¿¡ ÀÔ¹®ÇÏ´Â ÈÀÌÆ® ÇØÄ¿¸¦ À§ÇØ ´ëÇ¥ÀûÀÎ À¥ Ãë¾àÁ¡À» À¯Çüº°·Î Æ÷»ó±ÝÀ» Áö±ÞÇÑ Ãë¾àÁ¡ º¸°í »ç·Ê·Î ¼³¸íÇÑ´Ù. ÀÌ Ã¥À» ÅëÇØ ´Ù¾çÇÑ À¯ÇüÀÇ Ãë¾àÁ¡¿¡ ´ëÇÑ ±âº» °³³ä°ú ÇÔ²² ½ÇÁ¦ Ãë¾àÁ¡À» ¹ß°ßÇÏ´Â ¹æ¹ýÀ» ¹è¿ï ¼ö ÀÖÀ» °ÍÀÌ´Ù.
¶ÇÇÑ ÀÌ Ã¥Àº À¥ ÇØÅ· ÇнÀÀ» À§ÇÑ ¿¬½À¿ë ȯ°æÀ» ´Ù·ç´Â °ÍÀÌ ¾Æ´Ñ, ½ÇÁ¦ ±â¾÷µéÀÌ ¿î¿µÇϴ ȨÆäÀÌÁö¿¡¼ Ãë¾àÁ¡À» º¸°íÇØ Æ÷»ó±ÝÀ» ì±ä »ç·Ê¸¦ ´Ù·é Ã¥ÀÌ´Ù. ƯÈ÷ ÀÎÅͳݿ¡ °ø°³µÈ ¼ö¸¹Àº Ãë¾àÁ¡¿¡ ´ëÇÑ ¼³¸í»Ó¸¸ ¾Æ´Ï¶ó, Ãë¾àÁ¡À» ã´Â °úÁ¤À» ÀÚ¼¼È÷ ¼³¸íÇÑ À¯ÀÏÇÑ ¼ÀûÀÏ °ÍÀÌ´Ù. À̸¦ ÅëÇØ ¿©·¯ºÐÀº Ãë¾àÁ¡À» ã´Â °úÁ¤°ú, ãÀº ÈÄ Á¦º¸ÇÏ´Â °úÁ¤ ¹× Æ÷»ó±ÝÀ» ¹Þ´Â °úÁ¤±îÁö ½ÀµæÇÏ¸ç ¹ö±× ÇåÅͷμ ¼ºÀåÇÒ ¼ö ÀÖ´Â ±âº»±â¸¦ ¸¶·ÃÇÒ ¼ö ÀÖÀ» °ÍÀÌ´Ù. ½ÇÁ¦ ȨÆäÀÌÁöÀÇ Ãë¾àÁ¡ ¹ß°ß °úÁ¤À» ¹è¿òÀ¸·Î½á ½ÇÀü À¥ ÇØÅ· ±â¼úÀ» ½ÀµæÇÒ ¶§¿¡µµ Å« µµ¿òÀ» ÁÙ °ÍÀÌ´Ù. ¼ö³â°£ È°µ¿ÇØ¿Â ¹ö±× ÇåÅÍÀÌÀÚ º¸¾ÈÀü¹®°¡·Î¼ ¹ö±× ÇåÆà ÀÔ¹®ÀÚ¿¡°Ô ÀÌ Ã¥À» Àо °ÍÀ» °·ÂÈ÷ ÃßõÇÑ´Ù.
¡á ÀÎÅͳÝÀÇ ÀÛµ¿ ¹æ¹ý°ú ±âº» À¥ ÇØÅ· °³³ä
¡á °ø°ÝÀÚ°¡ À¥ »çÀÌÆ®¸¦ Àå¾ÇÇÏ´Â ¹æ¹ý
¡á Ãë¾àÁ¡°ú °ü·ÃµÈ ±â´ÉÀ» ½Äº°ÇÏ´Â ¹æ¹ý
¡á ¹ö±×¸¦ ã±â ½ÃÀÛÇÒ ¶§ ã¾ÆºÁ¾ß ÇÒ ÁöÁ¡
¡á È¿°úÀûÀÎ ¹ö±× ¹Ù¿îƼ ÇÁ·Î±×·¥ Ž»ö°ú Ãë¾àÁ¡ º¸°í¼ Á¦Ãâ ¹æ¹ý
ÀÌ Ã¥ÀÇ ´ë»ó µ¶ÀÚ
Ãʺ¸ ÇØÄ¿¸¦ ¿°µÎ¿¡ µÎ°í ÀÛ¼ºÇß´Ù. À¥ °³¹ßÀÚ, À¥ µðÀÚÀ̳Ê, °¡Á¤À» ²Ù¸®°í ÀÖ´Â ºÎ¸ð, 10»ìÂ¥¸® ¾ÆÀÌ ¶Ç´Â 75¼¼ ÅðÁ÷ÀÚµµ »ó°ü¾ø´Ù. ÀϺΠÇÁ·Î±×·¡¹Ö °æÇè°ú À¥ ±â¼ú¿¡ Àͼ÷ÇÏ¸é µµ¿òÀÌ µÉ ¼ö ÀÖ´Ù. HTML(Hypertext Markup Language)ÀÌ ±¸Á¶¸¦ Á¤ÀÇÇÏ´Â ¹æ¹ý°ú CSS(Cascading Style Sheets)°¡ ¸ð¾çÀ» Á¤ÀÇÇÏ´Â ¹æ¹ý, ÀÚ¹Ù½ºÅ©¸³Æ®°¡ µ¿ÀûÀ¸·Î »óÈ£ÀÛ¿ëÇÏ´Â ¹æ¹ýÀ» ÀÌÇØÇϸé Ãë¾àÁ¡À» ¹ß°ßÇÏ°í ¹ß°ßÇÑ ¹ö±×ÀÇ Æı޷ÂÀ» ÀÎÁöÇÏ´Â µ¥ µµ¿òµÉ °ÍÀÌ´Ù.
¾ÖÇø®ÄÉÀ̼ÇÀÇ ·ÎÁ÷°ú °ü·ÃµÈ Ãë¾àÁ¡À» ¹ß°ßÇÏ°í °³¹ßÀÚ°¡ ½Ç¼ö¸¦ ÀúÁö¸£´Â ¹æ¹ý°ú °ü·ÃµÈ ºê·¹ÀνºÅä¹ÖÀ» ÇÒ ¶§ ÇÁ·Î±×·¡¹Ö ¹æ¹ýÀ» ¾Æ´Â °ÍÀÌ µµ¿òÀÌ µÈ´Ù. ÇÁ·Î±×·¡¸Ó ¾÷°è¿¡ Á¾»çÇ߰ųª ±¸Çö ¹æ¹ýÀ» ÃßÃøÇÒ ¼ö Àְųª (°¡´ÉÇÑ °æ¿ì) Äڵ带 ÀÐÀ» ¼ö ÀÖ´Ù¸é ¼º°ø È®·üÀÌ ³ô¾ÆÁø´Ù.
ÀÌ Ã¥ÀÇ ±¸¼º
¡®1Àå: ¹ö±× ¹Ù¿îƼ ±âº» »çÇס¯Àº Ãë¾àÁ¡°ú ¹ö±× ¹Ù¿îƼ°¡ ¹«¾ùÀ̸ç Ŭ¶óÀ̾ðÆ®¿Í ¼¹öÀÇ Â÷ÀÌÁ¡À» ¼³¸íÇÑ´Ù. ¶ÇÇÑ HTTP ¿äû, ÀÀ´ä ¹× ¹æ¹ýÀ» Æ÷ÇÔÇØ ÀÎÅÍ³Ý ÀÛµ¿ ¹æ½Ä°ú HTTP »óÅ ºñÀúÀå(stateless)À» ¼³¸íÇÑ´Ù.
¡®2Àå: ¿ÀÇ ¸®µð·º¼Ç¡¯Àº ƯÁ¤ µµ¸ÞÀÎÀÇ ½Å·Ú¸¦ ¾Ç¿ëÇØ »ç¿ëÀÚ¸¦ ´Ù¸¥ µµ¸ÞÀÎÀ¸·Î ¸®µð·º¼ÇÇÏ´Â °ø°ÝÀ» ´Ù·é´Ù.
¡®3Àå: HTTP ÆĶó¹ÌÅÍ ¿À¿°¡¯Àº °ø°ÝÀÚ°¡ HTTP ¿äûÀ» ó¸®ÇÏ´Â ¹æ¹ýÀ» ´Ù·ç¸ç, Ãë¾àÇÑ ´ë»ó À¥ »çÀÌÆ®¿¡¼ ½Å·ÚÇÏÁö¸¸ ¿¹±âÄ¡ ¾ÊÀº µ¿ÀÛÀ» À¯¹ßÇÏ´Â Ãß°¡ ÆĶó¹ÌÅ͸¦ ÁÖÀÔÇÑ´Ù.
¡®4Àå: CSRF(Cross Site Request Forgery)¡¯´Â °ø°ÝÀÚ°¡ ¾Ç¼º À¥ »çÀÌÆ®¸¦ »ç¿ëÇØ °ø°Ý ´ë»ó ºê¶ó¿ìÀú°¡ ´Ù¸¥ À¥ »çÀÌÆ®¿¡ HTTP ¿äûÀ» º¸³»µµ·Ï ÇÏ´Â ¹æ¹ýÀ» ´Ù·é´Ù.
¡®5Àå: HTML ÀÎÁ§¼Ç(injection) ¹× ÄÜÅÙÃ÷ ½ºÇªÇÎ(spoofing)¡¯Àº ¾Ç¼º »ç¿ëÀÚ°¡ ÀÚüÀûÀ¸·Î ¼³°èÇÑ HTML ¿ä¼Ò¸¦ °ø°Ý ´ë»ó »çÀÌÆ®ÀÇ À¥ ÆäÀÌÁö¿¡ ÁÖÀÔÇÏ´Â ¹æ¹ýÀ» ¼³¸íÇÑ´Ù.
¡®6Àå: ij¸®Áö ¸®ÅÏ ¶óÀÎÇǵå(Carriage Return Line Feed) ÀÎÁ§¼Ç¡¯Àº °ø°ÝÀÚ°¡ ÀÎÄÚµùÇÑ ¹®ÀÚ¸¦ HTTP ¸Þ½ÃÁö¿¡ »ðÀÔÇØ ¼¹ö, ÇÁ·Ï½Ã ¹× ºê¶ó¿ìÀú°¡ ¹®ÀÚ Çؼ®ÇÏ´Â ¹æ½ÄÀ» º¯°æÇÏ´Â ¹æ¹ýÀ» º¸¿©ÁØ´Ù.
¡®7Àå: Å©·Î½º »çÀÌÆ® ½ºÅ©¸³ÆÃ(Cross Site Scripting, XSS)¡¯Àº °ø°ÝÀÚ°¡ »çÀÌÆ®¿¡¼ ÀÚü JavaScript Äڵ带 ½ÇÇàÇϱâ À§ÇØ »ç¿ëÀÚ ÀÔ·ÂÀ» °ËÁõÇÏÁö ¾Ê´Â »çÀÌÆ®¸¦ ¾Ç¿ëÇÏ´Â ¹æ¹ýÀ» ¼³¸íÇÑ´Ù.
¡®8Àå: ÅÛÇø´ ÀÎÁ§¼Ç¡¯Àº ÅÛÇø´¿¡¼ »ç¿ëÇÏ´Â »çÀÌÆ®¿¡¼ »ç¿ëÀÚ ÀÔ·ÂÀ» °ËÁõÇÏÁö ¾ÊÀ» ¶§ °ø°ÝÀÚ°¡ ÅÛÇø´ ¿£ÁøÀ» ¾Ç¿ëÇÏ´Â ¹æ¹ýÀ» ¼³¸íÇÑ´Ù. ÀÌ Àå¿¡´Â Ŭ¶óÀ̾ðÆ® ¹× ¼¹ö Ãø »ç·Ê°¡ ¼ö·ÏµÅ ÀÖ´Ù.
¡®9Àå: SQL ÀÎÁ§¼Ç¡¯Àº µ¥ÀÌÅͺ£À̽º ±â¹Ý »çÀÌÆ®ÀÇ Ãë¾àÁ¡À¸·Î ÀÎÇØ °ø°ÝÀÚ°¡ »çÀÌÆ® µ¥ÀÌÅͺ£À̽º¸¦ ´ë»óÀ¸·Î ¿¹»ó ¹ÛÀÇ Äõ¸®¸¦ Àü´ÞÇϰųª °ø°ÝÇÏ´Â ¹æ¹ýÀ» ¼³¸íÇÑ´Ù.
¡®10Àå: SSRF(Server Side Request Forgery)¡¯´Â ħÀÔÀÚ°¡ ¼¹ö°¡ ÀǵµÇÏÁö ¾ÊÀº ³×Æ®¿öÅ© ¿äûÀ» ¼öÇàÇÏ°Ô ÇÏ´Â ¹æ¹ýÀ» ¼³¸íÇÑ´Ù.
¡®11Àå: XML ¿ÜºÎ ¿£Æ¼Æ¼¡¯´Â °ø°ÝÀÚ°¡ ¾ÖÇø®ÄÉÀ̼ÇÀÌ XML ÀÔ·ÂÀÇ ±¸¹® ºÐ¼®À» ÇÏ°í ÀÔ·Â °ª¿¡ ¿ÜºÎ ¿£Æ¼Æ¼¸¦ Æ÷ÇÔ½ÃÄÑ Ã³¸®ÇÏ´Â ¹æ½ÄÀ» ¾Ç¿ëÇÏ´Â ¹æ¹ýÀ» º¸¿©ÁØ´Ù.
¡®12Àå: ¿ø°Ý ÄÚµå ½ÇÇ࡯Àº °ø°ÝÀÚ°¡ ¼¹ö³ª ¾ÖÇø®ÄÉÀ̼ÇÀ» Á¶ÀÛÇØ °ø°ÝÀÚÀÇ Äڵ带 ½ÇÇàÇÏ´Â ¹æ¹ýÀ» ¼³¸íÇÑ´Ù.
¡®13Àå: ¸Þ¸ð¸® Ãë¾àÁ¡¡¯Àº °ø°ÝÀÚ°¡ ¾ÖÇø®ÄÉÀ̼ÇÀÇ ¸Þ¸ð¸® °ü¸®¸¦ Á¶ÀÛÇØ °ø°ÝÀÚ°¡ »ðÀÔÇÑ ¸í·É ½ÇÇà ¹× ÀǵµÇÏÁö ¾ÊÀº µ¿ÀÛÀ» ÀÏÀ¸Å°´Â ¹æ¹ýÀ» ¼³¸íÇÑ´Ù.
¡®14Àå: ¼ºêµµ¸ÞÀÎ Àμö¡¯´Â °ø°ÝÀÚ°¡ ÇÕ¹ýÀûÀÎ µµ¸ÞÀÎÀ» ´ë½ÅÇØ ¼ºêµµ¸ÞÀÎÀ» Á¦¾îÇÒ ¼ö ÀÖ´Â °æ¿ì ¼ºêµµ¸ÞÀÎÀ» Àå¾ÇÇÏ´Â ¹æ¹ýÀ» º¸¿©ÁØ´Ù.
¡®15Àå: ·¹À̽º ÄÁµð¼Ç(race condition)¡¯¿¡¼´Â °ø°ÝÀÚ°¡ ÇÁ·Î¼¼½º°¡ ½ÇÇàµÉ ¶§ À¯È¿ÇÏÁö ¾ÊÀº Ãʱâ Á¶°ÇÀ» ±â¹ÝÀ¸·Î »çÀÌÆ®ÀÇ ÇÁ·Î¼¼½º°¡ ¿Ï·áµÉ ¶§ »óȲÀ» Á¶ÀÛÇÏ´Â ¹æ¹ýÀ» º¸¿©ÁØ´Ù.
¡®16Àå: ¾ÈÀüÇÏÁö ¾ÊÀº Á÷Á¢ °´Ã¼ ÂüÁ¶¡¯´Â °ø°ÝÀÚ°¡ Á¢±ÙÇÒ ¼ö ¾ø´Â ÆÄÀÏ, µ¥ÀÌÅͺ£À̽º ·¹ÄÚµå ¶Ç´Â °èÁ¤°ú °°Àº °³Ã¼¿¡ ´ëÇÑ ÂüÁ¶¸¦ Á¢±ÙÇϰųª ¼öÁ¤ÇÒ ¼ö ÀÖÀ» ¶§ ¹ß»ýÇÏ´Â Ãë¾àÁ¡À» ´Ù·é´Ù.
¡®17Àå: OAuth Ãë¾àÁ¡¡¯Àº À¥, ¸ð¹ÙÀÏ ¹× µ¥½ºÅ©Åé ¾ÖÇø®ÄÉÀ̼ÇÀÇ º¸¾È ±ÇÇÑÀ» ´Ü¼øÈÇÏ°í Ç¥ÁØÈÇϵµ·Ï ¼³°èµÈ OAuth ÇÁ·ÎÅäÄÝ ±¸Çö »óÀÇ ¹ö±×¸¦ ´Ù·é´Ù.
¡®18Àå: ¾ÖÇø®ÄÉÀÌ¼Ç ·ÎÁ÷ ¹× ±¸¼º Ãë¾àÁ¡¡¯Àº °ø°ÝÀÚ°¡ ÄÚµù ·ÎÁ÷ ¶Ç´Â ¾ÖÇø®ÄÉÀÌ¼Ç ±¸¼º ½Ç¼ö¸¦ Á¶ÀÛÇؼ »çÀÌÆ®¿¡¼ ÀǵµÇÏÁö ¾ÊÀº µ¿ÀÛÀ» ¼öÇàÇØ Ãë¾àÁ¡À» À¯¹ßÇÏ´Â ¹æ¹ýÀ» ¼³¸íÇÑ´Ù.
¡®19Àå: ³ª¸¸ÀÇ ¹ö±× ¹Ù¿îƼ ã±â¡¯´Â ÀúÀÚÀÇ °æÇè°ú ¹æ¹ý·Ð¿¡ µû¶ó Ãë¾àÁ¡À» ã´Â À§Ä¡¿Í ¹æ¹ý¿¡ ´ëÇÑ ÆÁÀ» ¾Ë·ÁÁØ´Ù. ÀÌ ÀåÀº »çÀÌÆ® ÇØÅ·¿¡ ´ëÇÑ ´Ü°èº° °¡À̵尡 ¾Æ´Ï´Ù.
¡®20Àå: Ãë¾àÁ¡ º¸°íÇϱ⡯´Â ¹ö±× ¹Ù¿îƼ ÇÁ·Î±×·¥¿¡¼ ¹ö±×¸¦ °ÅºÎÇÏÁö ¾Êµµ·Ï ½Å·ÚÇÒ ¼ö ÀÖ°í À¯¿ëÇÑ Ãë¾àÁ¡ º¸°í¼¸¦ ÀÛ¼ºÇÏ´Â ¹æ¹ýÀ» ¼³¸íÇÑ´Ù.
¡®ºÎ·Ï A: µµ±¸¡¯´Â À¥ Æ®·¡ÇÈ ÇÁ·Ï½Ã, ÇÏÀ§ µµ¸ÞÀÎ ¿°Å, ½ºÅ©¸°¼¦ µîÀ» Æ÷ÇÔÇÏ¿© ÇØÅ·À» À§ÇØ ¼³°èµÈ ´ëÁßÀûÀÎ µµ±¸¸¦ ¼³¸íÇÑ´Ù.
¡®ºÎ·Ï B: Ãß°¡Àڷᡯ¿¡´Â ÇØÅ· Áö½ÄÀ» ´õ¿í Æø³Ð°Ô È®Àå½ÃÅ°±â À§ÇÑ Ãß°¡ ÀڷḦ ³ª¿Çß´Ù. ¿©±â¿¡´Â ¿Â¶óÀÎ ±³À°, ´ëÁßÀûÀÎ ¹Ù¿îƼ Ç÷§Æû, Ãßõ ºí·Î±× µîÀÌ ÀÖ´Ù.
ÁöÀºÀÌÀÇ ¸»
°ø°³µÈ Ãë¾àÁ¡ º¸°í¼¸¦ Àаí ÀϺΠÇØÄ¿°¡ ¼ö·ÉÇÏ´Â Æ÷»ó±ÝÀ» º¸¸é ÇØÅ·ÀÌ ½±°í ºü¸£°Ô ºÎÀÚ°¡ µÇ´Â ¹æ¹ýÀ̶ó°í »ý°¢ÇÒ ¼ö ÀÖ´Ù. ÇÏÁö¸¸ Çö½ÇÀº ±×·¸Áö ¾Ê´Ù. ÇØÅ·Àº º¸¶÷À» ÀÖÀ» ¼ö ÀÖÁö¸¸ ±× °úÁ¤¿¡¼ÀÇ ½ÇÆи¦ ´Ù·é À̾߱â´Â ã±â Èûµé´Ù(ÀÌ Ã¥¿¡¼´Â ¿¹¿ÜÀûÀ¸·Î °³ÀÎÀûÀÎ ±²ÀåÈ÷ ³Ã³Çß´ø °æÇèÀ» °øÀ¯ÇÒ °ÍÀÌ´Ù). ÇØÅ·¿¡ ¼º°øÇÑ °ÍÀº ´ëºÎºÐ ÀüÇصéÀ» ¼ö Àֱ⠶§¹®¿¡ ÇØÅ·¿¡ °üÇØ ºñÇö½ÇÀûÀÎ ±â´ë¸¦ Ç°À» ¼ö ÀÖ´Ù.
¿©·¯ºÐÀº ±²ÀåÈ÷ ºü¸£°Ô ¼º°øÇÒ ¼öµµ ÀÖ´Ù. ±×·¯³ª ¹ö±×¸¦ ¹ß°ßÇÏ´Â °ÍÀº ±²ÀåÈ÷ ¾î·Æ±â ¶§¹®¿¡ °è¼ÓÇؼ ¹ß°ßÇÏ·Á°í ½ÃµµÇÏÀÚ. °³¹ßÀÚ´Â Ç×»ó »õ·Î¿î Äڵ带 ÀÛ¼ºÇÏ¸ç ¹ö±×´Â Ç×»ó ÇÁ·Î´ö¼Ç ȯ°æÀ¸·Î Àü´ÞµÉ °ÍÀÌ´Ù. ¸¹ÀÌ ½ÃµµÇÒ¼ö·Ï ¹ö±×¸¦ Ž»öÇÏ´Â °úÁ¤Àº ´õ¿í ½¬¿öÁú °ÍÀÌ´Ù.
Æ®À§ÅÍ @yaworsk °èÁ¤À¸·Î ÀÚÀ¯·Ó°Ô ¸Þ¼¼Áö¸¦ º¸³»°í ÁøÇà »óȲÀ» ¾Ë·ÁÁֱ⸦ ¹Ù¶õ´Ù. ºñ·Ï ½ÇÆÐÇß´õ¶óµµ, ³ª´Â ¿©·¯ºÐÀÇ À̾߱⸦ µè°í ½Í´Ù. °í±ººÐÅõÇÏ°í ÀÖ´Ù¸é ¹ö±×¸¦ ã´Â ÀÏÀº ¿Ü·Î¿î ÀÛ¾÷ÀÏ ¼ö ÀÖ´Ù. ÇÏÁö¸¸ ¼·Î ÃàÇÏÇÏ´Â °ÍÀº ÁÁÀº ÀÏÀ̸ç, ÀÌ Ã¥ÀÇ ´ÙÀ½ ÆÇ¿¡ Æ÷ÇÔ½Ãų ¸¸ÇÑ ¹ö±×¸¦ ãÀ» ¼öµµ ÀÖÀ» °ÍÀÌ´Ù.
¿Å±äÀÌÀÇ ¸»
±â¾÷ÀÇ ¼ºñ½º ¹× Á¦Ç°À» ÇØÅ·ÇØ Ãë¾àÁ¡À» ãÀº ÇØÄ¿¿¡°Ô Æ÷»ó±ÝÀ» ÁÖ´Â Á¦µµÀÎ ¡®¹ö±× ¹Ù¿îƼ(bug bounty)¡¯ÀÇ ´ëÇ¥ÀûÀÎ Ç÷§ÆûÀ¸·Î ÇØÄ¿¿ø(HackerOne.com)ÀÌ ÀÖ´Ù. ÇØÄ¿¿ø¿¡¼´Â ±Û·Î¹ú ±â¾÷µé°ú Á¦ÈÞ¸¦ ¸Î°í À¥ Ãë¾àÁ¡À» Á¢¼öÇØ ½É»ç¸¦ °ÅÃÄ Æ÷»ó±ÝÀ» Áö±ÞÇÏ°í ÀÖ´Ù. ÇØÄ¿¿ø »çÀÌÆ®¿¡ µî·ÏµÈ ¹ö±×¸¦ »ìÆ캸¸é ¼öÁØ ³ôÀº À¥ ÇØÅ· ±â¼ú·Î Ãë¾àÁ¡À» ¹ß°ßÇÑ »ç·Êµµ ÀÖÁö¸¸, °³¹ßÀÚµéÀÌ ¿¹»óÄ¡ ¸øÇÑ ÇãÁ¡À» ¹ß°ßÇØ µÎµÏÇÑ Æ÷»ó±ÝÀ» ì°Ü°¡´Â °æ¿ìµµ º¼ ¼ö ÀÖ´Ù. ÀÌ·¯ÇÑ ¹ö±×¸¦ ã´Â °ÍÀº »ý°¢º¸´Ù ÁøÀÔ À庮ÀÌ ÀÖ¾î ¹ö±× ÇåÆÿ¡ ÀÔ¹®ÇÑ ¸¹Àº µµÀüÀÚµéÀÌ ±Ý¹æ Æ÷±âÇϰųª ÀüÇô ¼ÒµæÀ» ¿Ã¸®Áö ¸øÇÑ´Ù.
¹ö±×¸¦ ã±â À§ÇØ °¡Àå Áß¿äÇÑ °ÍÀº ¹Ù·Î ½ÇÀü °æÇè°ú ³ëÇÏ¿ì´Ù. ÀÌ·¯ÇÑ ½ÇÀü °æÇèÀ» ½ÀµæÇϱâ À§ÇØ ¸¹Àº ½Ã°£°ú ³ë·ÂÀ» µé¿© ÇØÄ¿¿ø¿¡ µî·ÏµÈ Ãë¾àÁ¡ ºÐ¼® º¸°í¼¸¦ È®ÀÎÇØ°¡¸ç À¥ ÇØÅ· ±â¹ý°ú ³ëÇϿ츦 ¹è¿ö¾ß ÇÑ´Ù. ÀÌ Ã¥¿¡¼´Â ¹ö±× ¹Ù¿îƼ¿¡ ÀÔ¹®ÇÏ´Â ÈÀÌÆ® ÇØÄ¿¸¦ À§ÇØ ´ëÇ¥ÀûÀÎ À¥ Ãë¾àÁ¡À» À¯Çüº°·Î Æ÷»ó±ÝÀ» Áö±ÞÇÑ Ãë¾àÁ¡ º¸°í »ç·Ê·Î ¼³¸íÇÑ´Ù. ÀÌ Ã¥À» ÅëÇØ ´Ù¾çÇÑ À¯ÇüÀÇ Ãë¾àÁ¡¿¡ ´ëÇÑ ±âº» °³³ä°ú ÇÔ²² ½ÇÁ¦ Ãë¾àÁ¡À» ¹ß°ßÇÏ´Â ¹æ¹ýÀ» ¹è¿ï ¼ö ÀÖÀ» °ÍÀÌ´Ù.
¶ÇÇÑ ÀÌ Ã¥Àº À¥ ÇØÅ· ÇнÀÀ» À§ÇÑ ¿¬½À¿ë ȯ°æÀ» ´Ù·ç´Â °ÍÀÌ ¾Æ´Ñ, ½ÇÁ¦ ±â¾÷µéÀÌ ¿î¿µÇϴ ȨÆäÀÌÁö¿¡¼ Ãë¾àÁ¡À» º¸°íÇØ Æ÷»ó±ÝÀ» ì±ä »ç·Ê¸¦ ´Ù·é Ã¥ÀÌ´Ù. ƯÈ÷ ÀÎÅͳݿ¡ °ø°³µÈ ¼ö¸¹Àº Ãë¾àÁ¡¿¡ ´ëÇÑ ¼³¸í»Ó¸¸ ¾Æ´Ï¶ó, Ãë¾àÁ¡À» ã´Â °úÁ¤À» ÀÚ¼¼È÷ ¼³¸íÇÑ À¯ÀÏÇÑ ¼ÀûÀÏ °ÍÀÌ´Ù. À̸¦ ÅëÇØ ¿©·¯ºÐÀº Ãë¾àÁ¡À» ã´Â °úÁ¤°ú, ãÀº ÈÄ Á¦º¸ÇÏ´Â °úÁ¤ ¹× Æ÷»ó±ÝÀ» ¹Þ´Â °úÁ¤±îÁö ½ÀµæÇÏ¸ç ¹ö±× ÇåÅͷμ ¼ºÀåÇÒ ¼ö ÀÖ´Â ±âº»±â¸¦ ¸¶·ÃÇÒ ¼ö ÀÖÀ» °ÍÀÌ´Ù. ½ÇÁ¦ ȨÆäÀÌÁöÀÇ Ãë¾àÁ¡ ¹ß°ß °úÁ¤À» ¹è¿òÀ¸·Î½á ½ÇÀü À¥ ÇØÅ· ±â¼úÀ» ½ÀµæÇÒ ¶§¿¡µµ Å« µµ¿òÀ» ÁÙ °ÍÀÌ´Ù. ¼ö³â°£ È°µ¿ÇØ¿Â ¹ö±× ÇåÅÍÀÌÀÚ º¸¾ÈÀü¹®°¡·Î¼ ¹ö±× ÇåÆà ÀÔ¹®ÀÚ¿¡°Ô ÀÌ Ã¥À» Àо °ÍÀ» °·ÂÈ÷ ÃßõÇÑ´Ù.