Bản dịch tiếng Hàn: https://github.com/alanleedev/KoreaSecurityApps/…
Mục lục
- Tóm tắt những gì đã phát hiện
- Cách các trang web ngân hàng phân phối ứng dụng
- Cách Wizvera VeraPort hoạt động
- Bảo vệ khỏi các chính sách độc hại
- Các lỗ hổng bảo mật
- Thiếu bảo vệ dữ liệu khi truyền
allowedDomainsđược thiết lập quá rộng- Ai đang nắm giữ khóa ký?
- Tổ chức chứng thực
- Khai thác kết hợp các lỗ hổng
- Sử dụng tệp chính sách hiện có từ trang web độc hại
- Thực thi nhị phân độc hại
- Loại bỏ dấu hiệu trực quan
- Rò rỉ thông tin: ứng dụng cục bộ
- Lỗ hổng máy chủ web
- HTTP Response Splitting
- XSS tồn tại lâu dài thông qua service worker
- Báo cáo vấn đề
- Những gì đã được sửa
- Các vấn đề còn lại
Đây là bài viết cuối cùng (ít nhất là trong thời gian tới?) trong loạt bài về các ứng dụng bảo mật của Hàn Quốc.
Khác với các ứng dụng trước đó, có vẻ như nhiều vấn đề được phát hiện đã được sửa khá nhiều trước khi bài viết được công bố.
Tuy nhiên, vẫn còn những vấn đề mang tính cấu trúc chưa được giải quyết.
3 bình luận
Thật xấu hổ.
Để tham khảo, bài báo trong nước về vụ KrCERT vô tình làm lộ địa chỉ email của nhiều chuyên gia bảo mật ở phần sau của bài viết gốc như sau.
Ngay cả KrCERT (KISA Internet Protection Nara), nơi nói rằng họ bảo vệ an ninh của quốc gia và người dân, mà còn như vậy,
thì các cơ quan chính phủ/công khác còn đến mức nào nữa đây....
Thật đáng xấu hổ khi trong tình cảnh này mà vẫn nói mình là cường quốc số