2580프로그램에서 싸이월드에 대해서 나왔는데.

theone3의 이미지

저녁에 MBC에서 하는 '시사매거진 2580'이란 프로그램을 보았습니다.

중간부터 봐서 전부 다 알수는 없었지만,

대강의 내용이 싸이월드의 폐해( ? )와 싸이월드 스토킹 등이 내용이었습니다.

마지막 부분에 해커가 싸이월드 두 명의 사용자(제작진과 협의했다고 합니다)의

계정을 해킹하는 것으로 보여주었습니다.

그 바로 전에 SK커뮤니케이션즈 사장의 인터뷰에서

사장은 절대로 해킹은 불가하다는 말을 했고요.

뭐 대단한 해킹 실력의 해커라면 해킹이 가능하다고 생각하기는 하는데,

어떤 방식으로 해킹을 했을까 하는 궁금증이 일어납니다.

일반적인 웹페이지에서 사용자의 계정을 해킹한 건지,

아니면 싸이월드 자체 서버를 해킹한 것인지 궁금합니다.

여러분들은 어떻게 생각하시는지요?

랜덤여신의 이미지

그게 가능하다는 말입니까! :shock:

그럼 싸이월드로써는 당장 로그 분석부터 해야겠군요. =3=3=3

angpoo의 이미지

2580 봤는데 써버를 해킹하거나 한거는 아니고 사용자 계정 해킹도 아닌것 같더군요.
단지 몇몇 페이지에 사용자가 비공개로 설정해놓은 정보가 포함되어 있거나
접근 방식에 따라서 노출이 가능한 모양입니다.

실제로 대부분 웹사이트들이 개인정보 노출에 전혀 신경을 쓰지 않고
보안에 대해 전혀 신경을 쓰지 않고 있습니다.

예를 들자면 로긴된 사용자만 보아야 할 페이지를 내용 다 보내주면 자바스크립트로 로긴되지 않았다면 페이지를 이동시킨다던지
A,B,C의 과정을 거쳐서 비밀번호를 바꾸게 페이지를 구성해놓고
그냥 바로 C의 과정이 담긴 페이지를 호출하면 남의 비밀번호를 그냥 바꿔 버릴 수 있다던지...
개인 홈페이지 수준이라도 이해할 수 없는 문제들이 국내 거대 싸이트들에서도 흔히 벌어집니다.

정말이지 보안에 대한 의식이 너무 없습니다.
웹프로그래머를 비하하는건 아니지만 학원 갖나온 ASP, PHP코더들에게만 싸이트 구축을 맞긴다면 문제가 안 생길 수가 없죠.

oneday의 이미지

비공개로 되어 있는 사진을....
이리저리 꽁수를 써서 모조리 다운받아버리는걸 짜본적이 있습니다.

뭐 그냥 해킹이나 그런것도 아니구..
혹시 방법이 없을까 싶어.. php로 해본것 뿐이죠...

그냥 되는거 확인하고 바로 삭제했습니다. -_-;;

확실히 조금 허술한 면들이 이리저리 보이더군요..
헉.. 이말 썼다고 잡혀가는건 아니겠지.. ㅡ.ㅡ

crimsoncream의 이미지

idlock wrote:
싸게 빨리.. ^^.. 웹프로그래머, 프로그래머, 코드 , 엔지니어, 천재,

누가 들어가도 똑같습니다...

angpoo wrote:

정말이지 보안에 대한 의식이 너무 없습니다.
웹프로그래머를 비하하는건 아니지만 학원 갖나온 ASP, PHP코더들에게만 싸이트 구축을 맞긴다면 문제가 안 생길 수가 없죠.

저도 이분 말씀에 한표.
설계시작하면 어디 한번 보자 하는게 대다수 개발자가 처한 현실 일 겁니다.
자기개발의 노력이 없는 신입 개발자들을 옹호할 생각은 없지만 그들에게 비전을 제시해야 할 시니어들이 존재하지 않거나 그 시니어들을 무력화시키는 시장 환경을 고려하면 안쓰러운 마음이 들지 비난하고 싶지는 않습니다.

오늘 우리는 동지를 땅에 묻었습니다. 그러나 땅은 이제 우리들의 것입니다.
아직도 우리의 적은 강합니다. 그러나 우리는 그들보다 많습니다.
항상 많을 것입니다.

jw0717의 이미지

angpoo wrote:

예를 들자면 로긴된 사용자만 보아야 할 페이지를 내용 다 보내주면 자바스크립트로 로긴되지 않았다면 페이지를 이동시킨다던지
A,B,C의 과정을 거쳐서 비밀번호를 바꾸게 페이지를 구성해놓고
그냥 바로 C의 과정이 담긴 페이지를 호출하면 남의 비밀번호를 그냥 바꿔 버릴 수 있다던지...

저도 봤는데.. 서버를 해킹한건 아닌거 같구.. 웹 url창에서 바로 c를 호출한다던가 그런거 같던데..

음. 그런데 이정도는 법적으로 문제가 안될까요??? 서버해킹이야 당연이 문제가 되겠고.

김충길의 이미지

세션변수를 쓰지 않았거나 제대로 체크를 안하나 보군요.

싸이월드는 asp 기반인거 같은데..

screen + vim + ctags 좋아요~

w0rm9의 이미지

비공개된 정보를 꼼수로 볼 수 있는 정도 아닐까요?
물론 그게 심각한 거지만...- -;;

배우고 때때로 익히면, 또한 즐겁지 아니한가?

budle77의 이미지

아마도 적절한 테스트 기간을 갖고 여유있게 진행하지 않아서 생긴 문제겠죠. 급한 마음에 이것저것 체크하다보면 항상 문제가 생기죠.

꼭 개발자만 탓할 문제는 아니라고 생각합니다.
물론... 개발자가 한방에 테스트까지 끝낼수 있다면 좋겠죠. ^^;

bookworm의 이미지

변수 값을 클라이언트측에 의존했을 것 같습니다.
쿠키나 GET, POST 값 정도겠지요.

세션으로 서버측에 저장했으면 세션 스니핑을 했을텐데 화면을 보니 그것은 아닌 것 같더군요.

얼마 전에 터진 연예인 메일 계정 사건은 스니핑에 의존한것 같더군요.

B/o/o/k/w/o/r/m/

김충길의 이미지

보안에 조금 신경을 썼다면 로그인 창에서 보안접속 체크박스가 있었겠죠.

싸이월드가 팝업창으로 구현한 이유중의 하나가 url을 안보이게 할려는
의도도 이유중의 한가지였을 겁니다.

screen + vim + ctags 좋아요~

morning의 이미지

저는 제가 사업할 사이트를 혼자 기획, 코딩 했습니다.
제가 직접 사용할 것이라 이래저래 아주 꼼꼼하게 하였지요.
보안에도 무척 신경 쓰면서 작업을 했습니다.

모든 것을 세션으로 처리하고,
모든 페이지 시작시 PHP코드로 사용자 권한 체크하고,
자바스크립트을 극도로 줄이고,
이용자의 모든 동선과 실행시키는 쿼리도 별도 로그하고,
설정값, 데이터 값들이 들어간 화일들은 확장자를 .cgi로 하고...

그런데,
막상 마무리 하는 시점에서 보안에 대한 내용을 정검해보니
스스로 경악할 수준으로 허점이 많았습니다.
이용자들이 아주 순수하고 원칙 그대로 한다면 문제 없지만
구지 해커나 크래커가 아니더라도
조금 이라도 호기심이 있거나 도전적인 사람을 만나면
손쉽게 깨지면서 악용될 구멍이 많더군요.
지금은 많이 잡았다고 생각하는데, 그것 제 생각이고
뚫려봐야 구멍을 알겠더군요.

조르바와 함께 춤을....

Tenshi의 이미지

그 TV프로그램을 시청하다가..
그 문제의 프로그래머가 나온 장면에서
언뜻.. 터미널에서 화면이 죽죽 올라가는 장면을 봤는데..
연출인걸까요? :shock:

ㅡ,.ㅡ;;의 이미지

개인정보 노출시킨 사장 엄중처벌해야함..

프로그래머를 헐값에 닥달하여 허술하게 만든죄..

무엇보다 고객의정보를 노출시킨 피해만큼 보상을해야됨..

전체의고객에게 사과와 수십~수백만원을 보상해야..


----------------------------------------------------------------------------

mudori의 이미지

세션 구을것을 쿠키로 굽게 하는거 아닐까요 get 같은것으로.

tess의 이미지

예전에 어떤사이트타고 들어가서 melong18noma@hotmail.com 이란 메신저를 쓰시는분이
시연하는것을 본적있습니다...
여러가지 방법이었는데..
가장 처음것은 제 기억에 xss취약점인가 라는것이었습니다....
쿠키 어쩌고 저쩌고..
관심있는 분은 직접물어보세염

피해자의 이미지

melong18noma@hotmail.com 이사람 사기꾼입니다. 돈만 받고 메신저 끊었어요.. 아직도 이런 사람들이 있다니.. 도대체

익명사용자의 이미지

세션 설정이 잘못되어 있습니다. 위에 자바 스크립트 뭐라고 말씀하신분 계신데 그말과 비슷합니다. 세션 스타트가 페이지마다 일관성이 없이 되어 있습니다. 스크립트는 여기저기 제멋대로... 접근성을 염두한다면서 비베스트립트를 섞어서...
아무리 웹어플이라지만 스파게티 코드의 진수를 보여주고 있지요. 제가 보기엔 여기 프로그래머들이 얼마나 자주 바뀌었는지 모르지만 전체 코드를 이해하고 있는 사람이 없다고 생각이 드네요... 또 DB에 있어 개발자 옆구리에 ERD가 있을까? 하는 생각도 듭니다.
대기업의 성격상(인수이후) 역활분담이 명확해야 한다지만 이런걸 보면 의사소통에 있어 그네들은 "하루살이 같다"는 생각이 듭니다. 역할분담이 명확하니 한국만의 고질적인 귀차니즘이 팽배하고 있지 않나라는 생각이 듭니다.

책임자가 보안에 문제가 없다라고 말했다면 그 책임자가 위에서 말한 그분이 아닌가라고 생각 할수도 있겠네요.

싸이에 제 아뒤가 아직 없어 모르겠지만 처음 열어보고 느낀 싸이는 gdlib에서 잘 뽑아 쓴거 같은 느낌이외엔...