본문 바로가기

Daily/Life

사이트 이용 중 취약점 제보



# 한국소프트웨어산업협회

# 기술자신고

# 사이트 이용 중 취약점 제보

# 보안뉴스

# 데일리시큐



2019년 6월 13일


본업에 충실하여 소프트웨어산업협회에 기술자신고를 하던 본인은 취약점을 찾게된다

매개변수 조작으로 다른 사용자의 문의내역을 볼 수 있음


보안뉴스, 데일리시큐 등에 제보를 하였다


위 사진의 취약점은 현재 조치되었음(2020-03-05)


요즘도 이런 취약점이 나오는 데가 있나 싶은데 나오더라


제보를 하게 된 결정적인 계기는 해당 홈페이지가 유료로 운영되고 있는점, 아직도 현업에서는 소프트웨어산업협회 경력증명서가 없으면 인정을 안해주는 곳이 많다.


사진으로는 없지만 회사경력이나 기술경력을 기입할 때 역시 매개변수를 조작하여 타인이 기입한 경력을 내 마음대로 조작이 가능했다. (이건 현재 확인 안해봄)


사실 메일로 보낸 건 내가 증적을 남기기 위함이었고 보안뉴스와 데일리시큐 홈페이지에 기사제보란을 통해서도 제보를 하였지만 답변이나 연락이 따로 오지는 않았고 잊고 있던 중에 메일함을 열어보다가 취약점이 조치되었나 궁금해서 오늘 확인해보니 조치가 되었더라


사이트 이용 중 취약점 제보 관련 글

https://it-gum.com/entry/%EC%8B%A4%EC%A0%84%ED%95%B4%ED%82%B9Burp-suite-%EC%82%AC%EC%9A%A9-%ED%8C%8C%EB%9D%BC%EB%AF%B8%ED%84%B0-%EB%B3%80%EC%A1%B0?category=641523