| r80 vs r82 | ||
|---|---|---|
| ... | ... | |
| 9 | 9 | == 개요 == |
| 10 | 10 | '''XSS 취약점을 악용한 쿠키 탈취 및 사이트 납치 사건''' |
| 11 | 11 | |
| 12 | 2017년 8월 14일 ~ 8월 15일 사이 나무위키의 XSS 취약점을 이용해 토론 스레드를 통해 로그인 쿠키를 탈취하고, 토론을 다른 사이트로 링크시킨 사건이다. | |
| 12 | [[2017년]] 8월 14일 ~ 8월 15일 사이 나무위키의 XSS 취약점을 이용해 토론 스레드를 통해 로그인 쿠키를 탈취하고, 토론을 다른 사이트로 링크시킨 사건이다. | |
| 13 | 13 | == 사건의 진행 == |
| 14 | 14 | 토론 연습장을 시작으로 한 IP 유저가 여러 토론에 악성 자바스크립트를 게시했고, 해당 토론에 접속하기만 해도 자동으로 이상한 문구[* 추후 로그인 쿠키로 밝혀졌다.]를 출력하는 이용자들이 생겨났다. [[https://namu.wiki/thread/Y4EXcp8Yp73ksmCzNxeVj6|한 규정 토론]]에서는 더 나가 hitomi.la로 자동 리디렉션이 걸려버렸다. |
| 15 | 15 | |
| ... | ... | |
| 22 | 22 | >'''백과사전을 원하시는 분은 가서 [[좆]]이나 잡으세요.''' |
| 23 | 23 | 이는 관리자 aquarius218의 계정으로 수정된 것이었으나, [[http://gall.dcinside.com/board/view/?id=dcwiki&no=399884|--이 또한 계정 탈취로 인한 것이었다.--]] 또한 [[https://namu.wiki/vote/191|--괴투표--]][* 관리자 katy0929가 [[https://namu.wiki/vote/190|--테스트용으로 파둔 투표--]]를 모방한 것으로 보인다.]가 생성되어 공지사항에 올라오기도 했다. --[[https://board.namu.wiki/free/547625|그루터기에 올라온 한 글을 보면]]--[* 삭제됨] 한 사용자가 소명게시판에 aquarius218의 계정이 해킹당한 듯 하니 차단해달라는 글을 올렸으나 영구 차단자 신분이고 [[문서 훼손|통상적으로는 받아들여지지 않을 내용]]이라서 삭제된 듯 하다. |
| 24 | 24 | == 원인 == |
| 25 | 나무위키는 _cfuid[* 엄밀히 말하자면 클라우드플레어 쿠키이다.], honoka, kotori의 세 가지 종류의 쿠키를 사용하고 있다. 이 중 'honoka' 와 'kotori' 쿠키는 로그인에 사용되는 것[* 서버에서 사용자를 구별하는 세션 쿠키였다.]으로 이 쿠키를 탈취할 경우 쿠키 주인의 "로그인된 상태"를 탈취하게 되어 비밀번호를 모르더라도 탈취된 쿠키를 적용하여 다른 사람으로 로그인 된 상태가 된다. 사이트 납치도 앞에서 서술한 XSS 취약점을 이용하였다. | |
| 25 | [[나무위키]]는 _cfuid[* 엄밀히 말하자면 클라우드플레어 쿠키이다.], honoka, kotori의 세 가지 종류의 쿠키를 사용하고 있다. 이 중 'honoka' 와 'kotori' 쿠키는 로그인에 사용되는 것[* 서버에서 사용자를 구별하는 세션 쿠키였다.]으로 이 쿠키를 탈취할 경우 쿠키 주인의 "로그인된 상태"를 탈취하게 되어 비밀번호를 모르더라도 탈취된 쿠키를 적용하여 다른 사람으로 로그인 된 상태가 된다. 사이트 납치도 앞에서 서술한 XSS 취약점을 이용하였다. | |
| 26 | 26 | |
| 27 | 27 | 최고관리자 [[derCSyong]]이 제시한 대처 방법은 다음과 같다. |
| 28 | 28 | >파악 끝났습니다. honoka 쿠키 또는 kotori 쿠키를 가져다 쓰는 것처럼 보이는데. |
| ... | ... |