네이트 썸네일형 리스트형 네이트 메일 XSS 취약점 네이트 메일에 XSS 취약점을 발견 했다. 그누보드 CSRF 취약점을 보고 급 관심이 생겨 이러저리 테스트 해보던 도중에 발견 하였다. 기본적으로 쿠키를 탈취해 다른 사용자로 임의로 로그인 할 수 있지만 네이트는 쿠키구조상 그렇게 되지 못하게 해두었다. 물론 연구하고 또 연구하면 풀릴 부분이지만 지금으로서는 쿠키로그인 말고 다른 악성코드등을 삽입하여 사용자 자체에게 피해를 주는 공격쪽이 더 어울리는 XSS 취약점이다. 더군다나 위 사진과 같이 메일 미리보기 서비스가 있어 최신글에 XSS 악성코드가 삽입되어 있다면 클릭하지 않아도 XSS 코드가 실행될 수 있다는 단점이 있어 더 주의가 요구 되는 부분이다. 더보기 이전 1 다음
