| r66 vs r67 | ||
|---|---|---|
| ... | ... | |
| 5 | 5 | [include(틀:사건사고)] |
| 6 | 6 | [include(틀:나무위키 운영 사건사고)] |
| 7 | 7 | [목차] |
| 8 | [clearfix] | |
| 8 | 9 | == 개요 == |
| 9 | 10 | '''XSS 취약점을 악용한 쿠키 탈취 및 사이트 납치 사건''' |
| 10 | 11 | |
| ... | ... | |
| 19 | 20 | 8월 15일 1시 45분경에는 나무위키의 대문에 다음과 같은 말이 삽입되었다. [[https://namu.wiki/w/나무위키:대문?rev=2042|#참조1]] [[https://namu.wiki/diff/나무위키:대문?rev=2042&oldrev=2041|#참조2]] |
| 20 | 21 | >나무위키는 백과사전이 아닙니다. |
| 21 | 22 | >'''백과사전을 원하시는 분은 가서 [[좆]]이나 잡으세요.''' |
| 22 | 이는 관리자 aquarius218의 계정으로 수정된 것이었으나, [[http://gall.dcinside.com/board/view/?id=dcwiki&no=399884|--이 또한 계정 탈취로 인한 것이었다.--]] 또한 [[https://namu.wiki/vote/191|--괴투표--]][* 관리자 katy0929가 [[https://namu.wiki/vote/190|--테스트용으로 파둔 투표--]]를 모방한 것으로 보인다.]가 생성되어 공지사항에 올라오기도 했다. --[[https://board.namu.wiki/free/547625|그루터기에 올라온 한 글을 보면]]--[* 삭제됨] 한 사용자가 소명게시판에 aquarius218의 계정이 해킹당한 듯 하니 차단해달라는 글을 올렸으나 영구차단자 신분이고 [[문서 훼손|통상적으로는 받아들여지지 않을 내용]]이라서 삭제된 듯 하다. | |
| 23 | == 원인 | |
| 24 | 나무위키는 | |
| 23 | 이는 관리자 aquarius218의 계정으로 수정된 것이었으나, [[http://gall.dcinside.com/board/view/?id=dcwiki&no=399884|--이 또한 계정 탈취로 인한 것이었다.--]] 또한 [[https://namu.wiki/vote/191|--괴투표--]][* 관리자 katy0929가 [[https://namu.wiki/vote/190|--테스트용으로 파둔 투표--]]를 모방한 것으로 보인다.]가 생성되어 공지사항에 올라오기도 했다. --[[https://board.namu.wiki/free/547625|그루터기에 올라온 한 글을 보면]]--[* 삭제됨] 한 사용자가 소명게시판에 aquarius218의 계정이 해킹당한 듯 하니 차단해달라는 글을 올렸으나 영구 차단자 신분이고 [[문서 훼손|통상적으로는 받아들여지지 않을 내용]]이라서 삭제된 듯 하다. | |
| 24 | == 원인 == | |
| 25 | 나무위키는 _cfuid[* 엄밀히 말하자면 클라우드플레어 쿠키이다.], honoka, kotori의 세 가지 종류의 쿠키를 사용하고 있다. 이 중 'honoka' 와 'kotori' 쿠키는 로그인에 사용되는 것[* 서버에서 사용자를 구별하는 세션 쿠키였다.]으로 이 쿠키를 탈취할 경우 쿠키 주인의 "로그인된 상태"를 탈취하게 되어 비밀번호를 모르더라도 탈취된 쿠키를 적용하여 다른 사람으로 로그인 된 상태가 된다. 사이트 납치도 앞에서 서술한 XSS 취약점을 이용하였다. | |
| 25 | 26 | |
| 26 | 최고관리자 derCSyong이 제시한 대처 방법은 다음과 같다. | |
| 27 | 최고관리자 [[derCSyong]]이 제시한 대처 방법은 다음과 같다. | |
| 27 | 28 | >파악 끝났습니다. honoka 쿠키 또는 kotori 쿠키를 가져다 쓰는 것처럼 보이는데. |
| 28 | 29 | >1. 쿠키만 가져가는 것은 '비밀번호'가 탈취된 것은 아닙니다. |
| 29 | 30 | >2. (중요) 로그인된 것으로 인식하기 때문에 내 정보에서 '''이메일 변경[* 또한 비밀번호도 변경이 가능하다.]'''이 가능하고, 이렇게 되면 계정을 되찾을 방법이 사라집니다. |
| ... | ... | |
| 35 | 36 | == 범인은 누구인가? == |
| 36 | 37 | IP 우회수단을 이용하여 공격을 자행하였을 것이기에 누가 한 것인지는 특정하기 어렵다. 다만 [[나무위키 관리자 Great_Blue 권한 남용 사건]]의 전개 과정에서 위키 갤러리 등지에 본인이 "'''나무위키 서버에 랜섬웨어를 살포하겠다.'''" 는 등 나무위키에 대한 테러 의사를 내비쳤기에 Great_Blue의 짓이라는 의견이 우세하다. |
| 37 | 38 | == 보고서 == |
| 38 | [[더시드위키]]에 [[namu]]가 [[https://theseed.io/w/2017년 나무위키 XSS 공격 보고서|이번 XSS 사건에 관한 보고서]]를 올렸다. 관심 있는 사람은 읽어 보도록 하자. 요지는 개발자의 부주의로 인한 취약점(이스케이프를 하지 않아 콜백 로직에서 공격자가 의도한 결과를 낳은 것.)[* 자동로그인 쿠키인 honoka 쿠키를 이용한 취약점]을 활용한 것이었으며, 현재는 해당 취약점이 해결되었다고. | |
| 39 | [[더시드위키]]에 [[namu]]가 [[https://theseed.io/w/2017년 나무위키 XSS 공격 보고서|이번 XSS 사건에 관한 보고서]]를 올렸다. 관심 있는 사람은 읽어 보도록 하자. 요지는 개발자의 부주의로 인한 취약점(이스케이프를 하지 않아 콜백 로직에서 공격자가 의도한 결과를 낳은 것.)[* 자동 로그인 쿠키인 honoka 쿠키를 이용한 취약점]을 활용한 것이었으며, 현재는 해당 취약점이 해결되었다고. | |
| 39 | 40 | == 기타 == |
| 40 | 당시에는 나무위키가 아직 독재 사이트가 될락말락이던 시대라서 이때에 대해서 어느정도 말이 많다. 만약 나무위키가 공명정대한 사이트였다면 동정론만 있었을 것이다. | |
| 41 | ||
| 41 | 당시에는 나무위키가 아직 독재 사이트가 될락말락이던 시대라서 이때에 대해서 어느 정도 말이 많다. 만약 나무위키가 공명정대한 사이트였다면 동정론만 있었을 것이다. |