(사례) 모든 페이스북 계정 접속 가능한 취약점 발견

보안프로젝트 매거진

모든 페이스북 계정 접속 가능한 취약점 발견

'모든 페이스북 계정 접속 가능한 취약점 발견'의 글인데 재미있는 사례입니다.

공격 방법은 무작위 대입 공격으로 어렵지 않은 것이지만, 하지만 중요한 것은 개발자 서비스들에 적용이 안되어 있다는 것을 시도한것이죠.

이런 접근 방법은 모의해킹 실무에서도 많이 발생합니다. 보통 도메인 단위로 진행을 하고 서비스가 클 때는 클라스 단위(IP단위)로 진행을 하게 됩니다. 이때 한쪽 서버에 반영을 하고 다른 서버에 반영을 하지 않는 사례나, 개발자들이 미쳐 챙기지 못한 대외서비스들이 있습니다. 이런 곳에서 심각한 취약점 홀이 발생하죠.

모의해킹 업무를 할 때나 관리 실무를 할 때 테스트/개발 서버 관리가 매우 중요합니다.