반응형
안녕하세요 브루스입니다.
오늘 접한 뉴스중 가장 흥미로운 뉴스가 아닌가 싶은 내용을 이야기 하려합니다.
구글 애드워즈(구글에 광고를 올리고자 하는 광고주들이 이용하는 서비스)의 Stored XSS(Stored Cross Site Script) 취약점을 찾아 이를 포상 받은 해커가 자신이 어떻게 취약점을 찾게 되었는지를 페이스북과 미디엄에 올렸습니다. 일종의 취약점 신고를 뒷받침할만한 검증이라고 생각하면 될 것입니다.
ㅇ
신고자는 자신이 3월 8일경 자신의 Gmail 서비스들을 클릭하였고, 그 중 에드워즈를 클릭하여 테스트를 했다고 합니다만 본인은 테스트라 쓰고 놀았다고..(즉 운이 좋아 얻어걸렸다고 합니다.) 세상에 이런 운이....
신고자는 구글 애드워즈의 Conversion name에 악성 스크립트를 넣어 보았고, 이 스크립트가 먹혀들어간 것이지요..
아래의 링크에 들어가 보면 애드워즈의 취약점을 제보한 신고자가 어떻게 하였는지 알 수 있습니다.
공격 과정이 복잡하지도 않아 쉽게 이해할 수 있으리라 생각됩니다.
블로그 운영 이후로 처음으로 본업과 관련된 글을 올렸습니다.
끝까지 읽어주셔서 감사합니다.
반응형
