자유 잘하면 계정해킹도 가능하겟다 | |||||
작성자 | 중위2CreeJee4 | 작성일 | 2018-02-18 20:49 | 조회수 | 927 |
---|---|---|---|---|---|
미홈에 접속시 그 접속자 권한으로 특정 URL받아온뒤에 특정 dom element에 히든값 가져온뒤에 custom protocol 실행 대충 접속식별값은 <개인접속 할당키>,<X-trap에서 할당해주는듯한 접속키> 인듯한데 중요한건 그것이아니라 마이홈피의 xss를 그냥둔다는것은 관련스크립트를 강제로 포함시킬수있다는거고 마이홈피에서 게임스타트 쪽으로 요청을 보낼수있고 로사 포로토콜과 함게 딸린 URL을 공격자는 받을수있으며 그걸로 게임실행도 가능할수도 있다는 가능성임 즉 마이홈피를 보러갔다 계정이 털리는 어처구니 없는일도 충분히 가능함 과연 로사는 어떻게 해결할것인가 흥미로움 |