기사라서 링크로 대체합니다
파이어폭스를 유독 강조하는거보니...잠시 다른거써야되나 싶네요
인터넷 / 소프트웨어
:
윈도우즈, 리눅스, 기타 운영체제, 각종 어플리케이션, 프로그램, 소프트웨어, 인터넷, 인터넷 서비스에 대한 이야기, 소식, 테스트, 정보를 올리는 게시판입니다.
소식
2018.06.14 14:50
웹 캐시를 감염시키는 새로운 해킹 방법 등장
조회 수 1045
댓글 5
| 참고/링크 | http://www.boannews.com/media/view.asp?idx=70335 |
|---|
-
-
?
신고들어오자마자 하루만에 뚝딱 한거같네요 모질라님 충성충성충성 ^^7
본문의 캐시를 강제한다는게 어떤의미인지 모르겠네요. 서버에서 가져가는정보가 그렇게 많은건가 싶기도 -
그... 캐싱을 하면 request path가 같고 이래저래 같은 응답을 보내줘도 되겠다 싶으면 웹 서버가 새로 렌더링 해서 200을 보내는 게 아니라 304 not modified 로 캐싱된 렌더를 보내주거든요. 새로 렌더링 할 필요 없이요.
근데 여기다가 request body에 뭔가 영 좋지 않은 것을 담아 보내서 서버쪽 렌더링 과정의 취약점을 건드리면 취약점을 통해 변조된(?) 서버 응답이 캐싱되어서 그 뒤로 접속하는 사람들이 캐시가 expire될 때까지 캐싱된 변조된 응답을 받게 되는 걸 말하는 것 같습니다. -
?
결과만 놓고보면 공유기 피싱 사태랑 비슷한꼴이 날수도 있을거같네요
캐싱하는 원리조차 모르고 있는터라 관심 생긴김에 좀 봐놔야겠습니다. -
사실 저도 댓글을 써놓고 보니까 304가 나오는 조건에 대해 명확히 잘 모르겠어서 글을 좀 수정했습니다. 요즘 세상엔 그냥 미들웨어 프레임워크 하나 꼽으면 끝나는 세상이니 ...
작성된지 4주일이 지난 글에는 새 코멘트를 달 수 없습니다.
-
Read MoreNo Image
[언론 보도] 통신시장 경쟁촉진방안 마련을 위한 과기정통부 토론회
과기정통부 "20년 과점 韓 통신시장 신뢰 잃었다...경쟁·혁신 필요" https://n.news.naver.com/mnews/article/008/0004857352 금일 '통신시장 경쟁 촉진 정책방안' 공개토론회가 있었습니다. 차관은 인사말에서 MNO의 요금제 개선은 경쟁... -
Read MoreNo Image
5천달러 BlackLotus, 윈도 시큐어 부트 우회가능
대충 5천달러 짜리 UEFI 부트 악성코드인 BlackLotus가 확실히 윈도 시큐어 부트를 작살내는 것으로 보입니다. BlackLotus는 1년이상 지난 CVE-2022-21894를 이용하는데, MS는 2022년 1월에 막았다고 생각했지만 영향을 받는 서명된 바... -
Read MoreNo Image
[언론 보도] 5월부터 OTT 사업자가 직접 등급 분류
4월 28일에 개정 법률이 시행되고, 신청 받아 5월부터 시작될 예정입니다. 등급분류 때문에 컨텐츠 서비스가 늦어지는 일이 현저히 줄어들 것으로 기대합니다. -
Read MoreNo Image
아이폰 사용자 분실 시, 각별한 주의 필요
최근에 한 미국 여성이 아이폰을 분실하였고 동시에 1,300만원이란 거금이 인출되었으며 자신의 아이폰 명의로 골드만삭스 애플페이 카드까지 발급된 사건이 있었습니다. https://www.businessinsider.com/apple-not-helpful-woman-lock... -
Read More
윈도우 업데이트 프리뷰 패치 KB5022913에 많은 기능이 추가됐습니다
윈도우 업데이트 프리뷰 패치 KB5022913의 배포가 시작됐습니다. 3월의 보안 업데이트부터 적용됩니다. 가장 큰 변화는 검색창에서 Ai 기능을 제공하는 Bing 검색 엔진을 쓸 수 있다는 겁니다. 또 스마트폰 연동 기능에서 iOS를 지원합니... -
Read More
MS, 챗GPT를 써서 로봇 제어에 성공
마이크로소프트는 챗GPT를 통해 평범한 자연 언어로 다양한 로봇을 제어하는데 성공했다고 발표했습니다. 이게 왜 대단하냐면, 지금의 로봇 제어는 조작에 필요한 내용을 프로그램 언어로 코딩해서 이루어지기 때문입니다. 당연히 시간과 ... -
Read MoreNo Image
미국, AI가 만든 이미지의 저작권을 인정하지 않음
Kristina Kashtanova라는 작가가 이미지 생성 AI인 미드저니를 써서 Zarya Of The Dawn라는 만화의 일러스트를 그렸습니다. 하지만 미국 정부는 '사람이 만든 것이 아니다'라는 이유로 저작권을 인정하지 않는다고 반려했습니다. ... -
Read More
NVIDIA, RTX 비디오 초해상 기술 출시
NVIDIA가 최신 버전의 드라이버에서 RTX 비디오 초해상 기술을 지원합니다. 크롬이나 엣지 브라우저에서 영상을 재생하면 그 해상도를 높여서 표시해 줍니다. NVIDIA 컨트롤 패널의 영상 설정에서 옵션을 설정할 수 있습니다. 4단계로 조... -
Read More
윈도 11 22H2의 윈도 탐색기 성능 문제가 KB5022913 업데이트로 개선되었습니다.
https://support.microsoft.com/ko-kr/topic/february-28-2023-kb5022913-os-build-22621-1344-preview-3e38c0d9-924d-4f3f-b0b6-3bd49b2657b9 업데이트 전 업데이트 후 윈도 11 22H2는 한 가지 고질적인 문제가 있었습니다. ... -
Read MoreNo Image
[언론 보도] “사무실 오세요” 카카오 3월, 야놀자 4월 ‘전면’ 재택 종료
카카오는 출근 우선, 야놀자는 전일 출근은 아니고 재택근무와 병행하는 방식입니다. 카카오 관계자는 업무 특성을 고려하여 조직별로 결정하는 것이 이번 제도의 목적이라고 밝혔습니다. 일부 계열사는 외부 일정 없는 이상 출근하는 제... -
Read MoreNo Image
오픈AI CEO가 쓴 앞으로의 계획
챗GPT의 개발사인 오픈AI의 CEO, Sam Altman가 범용 인공 지능을 앞으로 어떻게 개발해 나갈 것인지를 썼습니다. 인류 전체에게 이득이 되기 위해 범용 인공 지능을 개발하고 있으나, 인공 지능이 위험 요소가 될 수도 있다고 밝혔습니다.... -
Read MoreNo Image
토스, 대규모 개발팀 개편…권고사직 '칼바람' 논란도
26일 금융권에 따르면 토스는 최근 총 45명으로 구성된 사내 개발팀 ‘인터널 트라이브’ 조직을 개편하면서 인원을 감축했다. 인터널 트라이브는 토스 팀원을 대상으로 구성원이 필요로 하는 툴(too)이나 서비스를 만들어 공급... -
Read MoreNo Image
중국 국방 저널, 스타링크를 적으로 보는 논문 펴내
https://www.theregister.com/2023/02/27/china_defence_research_starlink_countermeasures 일단 중국이 쏘아올릴 GW도 그렇기도 하고, 미군의 도움으로 SpaceX가 스타링크를 쏘아올린다고 하는군요... 특히 '스타링크' 별자리의 잠재... -
Read MoreNo Image
카카오, 채용 절차 진행 중 면접 앞두고 전원 탈락 통보
카카오가 최근 진행 중이던 경력 채용 면접자들에게 일괄 탈락 처리 통보를 하며 채용을 중단했다. 업계는 카카오가 불황으로 늘어난 인건비 부담을 견디지 못해 이 같은 결정을 내린 것으로 해석한다. https://v.daum.net/v/202302220704... -
Read MoreNo Image
[언론 보도] 한컴 '구독형 서비스' 빛봤다...호실적 기반 글로벌 M&A 추진
구독형 서비스 확대가 성장을 이끌었다고 평가하고 있습니다. 요새 다 구독이던데, 영구제 판매 중단이 효과가 상당한가 봅니다. -
Read MoreNo Image
“넷플릭스, 한국은 빼고…100여곳 국가에서 구독료 절반 인하”
넷플릭스가 100여 곳에 달하는 저소득 국가를 중심으로 월 구독료를 최대 50% 인하했다고 23일(현지시간) 블룸버그 통신이 리서치 업체 암페어 어낼리시스의 분석자료를 인용해 보도했다. 암페어 어낼리시스에 따르면 이번 가격 인하는 중... -
Read More
유튜브, 1080p 프리미엄 옵션 테스트를 시작
유튜브가 모바일 앱에서 1080p 프리미엄 옵션 테스트를 시작했습니다. 1080p 프리미엄 옵션은 1080p보다 더 높은 비트레이트로 영상을 전송합니다. -
Read MoreNo Image
윈도우 11, 시스템 요구 사항 미달 시스템에 워터마크를 표시
2023년 1월의 패치 이후 윈도우 11 필요 조건을 충족시키지 못한 시스템에서 윈도우 11 2H22 버전을 실행하면 '시스템 요구 사항이 충족되지 않았습니다. 자세한 내용을 보려면 설정으로 이동하세요'라는 워터마크가 우측 하단에 ... -
Read MoreNo Image
MS, bing Chat의 사용 제한을 완화
마이크로소프트가 bing 챗봇의 사용 횟수를 제한했습니다. 지난 금요일에 세션당 5번의 질문, 하루 50번의 세션을 열 수 있도록 줄였지요. 그런데 이게 너무 적다는 지적을 들어선지, 서버 상태가 나아져서 그런지는 모르겠지만 세션당 6... -
Read MoreNo Image
[보도자료] LG유플러스, 신규 온라인 다이렉트 요금제 3종 출시·가족결합 확대
신규 요금제 5G 다이렉트 플러스 59 - 월 5.9만 원 / 테더링 OPMD 각 15 GB 5G 다이렉트 플러스 69 - 월 6.9만 원 / 테더링 OPMD 각 50 GB / 2nd device 이용 시 회선당 1.1만 원, 최대 2 회선 할인 LTE 다이렉트 34.5 - (아마도 월 3.45...
임시닉네임
책읽는달팽
위 글의 번역 기사인 것 같네요. 보안뉴스는 제휴가 되어 있는지 번역본 말미에도 저작권 표시가 되어 있고...
여하튼 잘 감은 안 오네요. 취약점이 있는 웹앱에 캐싱이 될 경우 캐싱 폴리시에 따라서 남들에게까지 취약점을 통한 공격을 할 수 있다는 이야기인 것 같은데, 그럼 일단 웹앱에 취약점이 있어야 하는 게 아닌지... 뭐, 요즘 웹이 워낙에 프레임워크 시대다 보니 프레임워크에 빵꾸가 나면 그럴 수도 있긴 하겠네요. 클라이언트단 보안 문제보단 서버단 취약점 가능성에 대한 보고인 듯.
파이어폭스는 취약점 보고서 들어가고 바로 업데이트 되었다고 하는 것 같습니다.