Social API Key 노출 #175
Comments
안녕하세요. 알려주신 방법으로 social API key를 알아 낼 수 없었습니다. 위 주소에서 네이버의 social API key 를 알아내 주실수 있을까요? |
|
캡챠가 뜬 상황에서(회원가입 폼에서 캡챠가 뜬 것을 확인한 직후) 자기 세션을 확인하면 캡챠 값을 확인할 수 있네요. |
|
안녕하세요. 현재 올려주신 링크에서는 네이버 로그인이 되지 않습니다. 따라서 현재 이슈를 발생 시킬 수 없습니다. 사용자는 소셜 로그인 기능을 통해 로그인 한 뒤, 그누보드에 회원가입 할 필요 없이 앞서 언급했던 절차대로 한다면 social API key를 얻을 수 있습니다. |
이 로그인 기능이 작동하지 않는다는 말씀이신지요? |
|
넵, 맞습니다. https://sir.kr 사이트에서는 아래 사진처럼 "네이버 로그인" 버튼을 클릭하면 아래 사진처럼 네이버 로그인 창이 뜹니다. 하지만, 위에 올려주신 https://php8.gnuboard.link/ 사이트에는 "네이버 로그인" 버튼이 존재하지만, 아래 사진처럼 로그인을 할 수 없습니다. 로그인이 가능한 아이디가 지정된 것으로 추측되며, 현재 저는 테스트할 수 없습니다. |
|
sir.kr에서 네이버 로그인 시도로 본문과 같은 문제 확인했습니다. 네이버 로그인 버튼을 누른 것 만으로 세션에 너무 많은 또는 누출되어서는 안되는 데이터가 담겨있습니다 애초에 세션 데이터 파일을 다운로드할 수 있는 것 또한 문제입니다. 세션 파일에 대한 접근을 차단해야합니다.
|
|
알려주셔서 감사합니다. |
|
패치 감사합니다!! |
|
네. 감사합니다. 제가 닫겠습니다. |
fix: 공지사항 버튼 감추기로 인해 모바일에서 다른 항목들의 위치 문제 고침
Intro
gnuboard에서 SNS를 통한 로그인 및 회원가입 기능이 존재합니다.
이 기능을 사용하기 위해서는 관리자가 필요한 SNS 서비스에 신청하여 얻은 API key를 입력해야 합니다.
API key는 관리자 페이지에서 수정 및 열람이 가능하지만, 비회원이 이를 탈취할 수 있습니다.
Setting
위 상황을 재현하기 위해 다음과 같은 설정이 되어 있어야 합니다.
PoC
비회원은 SNS 로그인 기능을 사용합니다.
비회원은 위 과정에서 SNS에 로그인만 하면 됩니다. 굳이 gnuboard에 회원가입 할 필요가 없습니다.
이후, 본인의
PHPSESSID쿠키 값을 확인합니다.위에서 얻은 쿠키 값을 아래 URL로 접근합니다.
http://target.com/data/session/sess_[YOUR-SESSION-VALUE]아래 사진처럼 social API key를 획득할 수 있습니다.
현재 Naver, Twitter, Kakao 확인한 결과 모두 social API key를 획득할 수 있습니다.
The text was updated successfully, but these errors were encountered: