| r23 vs r24 | ||
|---|---|---|
| ... | ... | |
| 20 | 20 | 구현의 귀찮음으로 인해 쓰레드에 레스를 작성하는 부분이 CSRF 토큰이 없었는데 사실 있어도 이 케이스에서는 별 쓸모가 없었다. |
| 21 | 21 | 다행인 점은 CSP로 인해 공격자가 외부 서버 등으로 쿠키를 전송할 수 없어서 토론 레스로 남기게 끔[* 좀 창의적이었다.] 했는데 이 때문에 정확한 피해자 특정이 가능했다. |
| 22 | 22 | == 피해 == |
| 23 | 자동 로그인을 사용 중이고 해당 시간대에 해당 쓰레드에 접속했던 8명의 자동 로그인 토큰 유출[* 이 8명에는 당시 현직 관리자도 포함되어 있었다.] | |
| 23 | 자동 로그인을 사용 중이고 해당 시간대에 해당 쓰레드에 접속했던 8명의 자동 로그인 토큰 유출[* 이 8명에는 당시 현직 관리자였던 aquarius218도 포함되어 있었다.] | |
| 24 | 24 | == 해결 == |
| 25 | 25 | 1. 파서의 해당 루틴 버그 수정됨. |
| 26 | 26 | 1. 자동 로그인 쿠키에 HttpOnly 속성 적용 |
| ... | ... | |
| 29 | 29 | 뭐 패스워드나 이런게 유출된게 아니니... |
| 30 | 30 | 규모에 비해 생각보다 피해는 적었다. |
| 31 | 31 | [[분류:보고서]][[분류:나무위키]] |
| 32 |