기사라서 링크로 대체합니다
파이어폭스를 유독 강조하는거보니...잠시 다른거써야되나 싶네요
인터넷 / 소프트웨어
:
윈도우즈, 리눅스, 기타 운영체제, 각종 어플리케이션, 프로그램, 소프트웨어, 인터넷, 인터넷 서비스에 대한 이야기, 소식, 테스트, 정보를 올리는 게시판입니다.
소식
2018.06.14 14:50
웹 캐시를 감염시키는 새로운 해킹 방법 등장
조회 수 1047
댓글 5
| 참고/링크 | http://www.boannews.com/media/view.asp?idx=70335 |
|---|
-
-
?
신고들어오자마자 하루만에 뚝딱 한거같네요 모질라님 충성충성충성 ^^7
본문의 캐시를 강제한다는게 어떤의미인지 모르겠네요. 서버에서 가져가는정보가 그렇게 많은건가 싶기도 -
그... 캐싱을 하면 request path가 같고 이래저래 같은 응답을 보내줘도 되겠다 싶으면 웹 서버가 새로 렌더링 해서 200을 보내는 게 아니라 304 not modified 로 캐싱된 렌더를 보내주거든요. 새로 렌더링 할 필요 없이요.
근데 여기다가 request body에 뭔가 영 좋지 않은 것을 담아 보내서 서버쪽 렌더링 과정의 취약점을 건드리면 취약점을 통해 변조된(?) 서버 응답이 캐싱되어서 그 뒤로 접속하는 사람들이 캐시가 expire될 때까지 캐싱된 변조된 응답을 받게 되는 걸 말하는 것 같습니다. -
?
결과만 놓고보면 공유기 피싱 사태랑 비슷한꼴이 날수도 있을거같네요
캐싱하는 원리조차 모르고 있는터라 관심 생긴김에 좀 봐놔야겠습니다. -
사실 저도 댓글을 써놓고 보니까 304가 나오는 조건에 대해 명확히 잘 모르겠어서 글을 좀 수정했습니다. 요즘 세상엔 그냥 미들웨어 프레임워크 하나 꼽으면 끝나는 세상이니 ...
작성된지 4주일이 지난 글에는 새 코멘트를 달 수 없습니다.
-
Read MoreNo Image
틱톡, 9개월 안에 매각해야 함
틱톡의 처리 법안이 미 상원에서 통과되고 바이든 대통령도 서명했습니다. 바이트댄스는 9개월 안에 미국 회사에 틱톡을 매각하거나(매각 절차가 진행되면 1년으로 연장 가능) 미국 시장에서 서비스를 중단해야 합니다. 틱톡은 이것이 위... -
Read MoreNo Image
윈도우 11, AI 요구 스펙을 맞추지 않으면 경고문을 표시할 예정
올해 가을에 나올 윈도우 11 24H2부터는 시스템이 AI 관련 스펙을 맞추지 못하면 경고문이 뜹니다. PopCnt, SSE4.2 등의 명령어를 지원하는 CPU가 필요합니다. 윈도우 11의 공식 요구 스펙을 충족하는 CPU라면 별 문제는 없을 겁니다. 또 ... -
Read More
Vegas Pro 18 설치 전 .NET Framework 3.5 활성화 필요
[잡담] 이 화면 보느라고 며칠을 고생했네요. .NET Framework 3.5 활성화가 되어 있어야 제대로 설치가 됩니다. 설치 과정에서 일련번호를 묻지 않고, 첫 구동 시에만 물어봅니다. 국내에도 정식 수입된 프로그램이기 때문에 한... -
Read More
랜섬웨어 그룹이 CD 프로젝트와 시스코의 정보를 유출
HelloKitty 랜섬웨어 팀이 이름을 HelloGookie로 바꾸고 기존에 유출됐던 CD Projekt사 게임의 소스 코드, 시스코 네트워크의 유출 정보, 암호 복호화 키를 공개했습니다. 이들은 팀명을 바꾸면서 새로운 다크 웹 포탈을 출시했고, 시스코... -
Read MoreNo Image
윈도 11 프리뷰 업데이트 KB5036980 설치 후 SMB 일부 기능에 장애가 생기네요.
시작 메뉴에 광고가 추가된다... 라고 알려져 있는 그 업데이트입니다. 멀티채널 미작동, 공유 폴더 접근 불가 등의 문제가 발생하고 있습니다. 적고 보니까 네트워크 경로 탐색 쪽이네요. 롤백하면 문제가 해결되는 것으로 보아 이 업... -
Read More
윈도우 11, 시작 메뉴에 광고 표시
MS : 새 윈도 11 베타부터 시작메뉴에 광고 띄웁니다~ https://gigglehd.com/gg/15822948 베타에 이어 이제는 윈도우 11 정식 버전에서도 광고를 띄우기 시작했습니다. KB5036980 업데이트를 설치하면 '시작 메뉴의 권장 섹션에 일부 ... -
Read More
마이크로소프트 스토어 웹 버전에서 직접 앱 설치 가능
마이크로소프트 스토어 웹 버전에서 앱을 바로 설치할 수 있습니다. 지금까지는 웹에서 검색을 해도 MS 스토어를 따로 열어야만 했습니다. 이제는 설치를 누르면 파일을 다운로드받아서 바로 깔 수 있습니다. 그래서 설치가 빨라지고 최신... -
Read More
ipTIME 신규 UI 적용 베타 FW 배포
# 신규 UI 지원 베타 펌웨어 배포 공지 - Material Design 기반의 새로운 UI - 모바일 및 PC 통합 UI 지원/ 다크모드 지원/즐겨찾기 기능 지원. - 지원 대상 : 14 버전을 지원하는 모든 유무선 공유기 55종 (Extender 제외) - 베타 기... -
Read MoreNo Image
라데온, 5월 말에 MES 소스 코드를 공개할 예정
AMD가 5월 말에 라데온 MES(Micro Engine Scheduler) 문서를 공개하고, 라데온 스택의 추가 부분을 오픈 소스로 공개할 예정입니다. 이를 통해 AI 개발사들이 하드웨어, 펌웨어, 드라이버 IP를 더욱 깊게 파고들어 잘 활용할 수 있으리라 ... -
Read MoreNo Image
미국, 틱톡 금지 법안을 통과시킬 예정
지난 수요일에 미국 하원에서 '외부의 적이 통제하는 앱에서 미국인을 보호하는 법안'이 통과됐습니다. 간단히 줄여 말해서 틱톡 금지 법안입니다. 이번주 화요일 미국 상원에서는 이스라엘, 대만, 우크라이나 지원 패키지에 이 ... -
Read More
마이크로소프트, 'AI(인공지능) 슈퍼컴퓨팅'을 강화하고자 전임 '페이스북(메타)' 임원을 영입함
▶ 마이크로소프트, 'AI(인공지능) 슈퍼컴퓨팅'을 강화하고자 전임 '페이스북(메타)' 임원을 스카웃 - 전임 '페이스북(메타)' 임원 : Jason Taylor(제이슨 테일러) - 마이크로소프트의 현직 직함 : 'AI(인공지능) 인프라스트럭쳐' 부문 '... -
Read More
페이스북(메타), 개방형 '혼합 현실' 생태계 OS 공개[Meta Horizon(메타 호라이즌)]
▶ 페이스북(메타), 개방형 '혼합 현실(MR)' 생태계 OS 공개 - 'MR(혼합현실)' OS : Meta Horizon(메타 호라이즌) - 개방형 생태계 구축 : 서드 파티 H/W 벤더사에도 공개함(10년 기간의 혼합 현실 플랫폼 기술 투자의 산물) - 서드 파티 ... -
Read MoreNo Image
애플, 중국에서 다수의 유명 SNS 앱을 제거
애플은 중국 정부의 명령에 따라 왓츠앱, 텔레그램, 시그널, 스레드를 중국 앱 스토어에서 제거했습니다. 중국 정부는 이들 앱이 '국가 안보'에 영향을 준다며 중국 앱 스토어에서 삭제하라고 요구했습니다. 애플은 여기에 동의하... -
Read MoreNo Image
비트코인, 네번째 반감기에 도달
비트코인은 대략 4년마다 한 번씩 채굴 보상이 절반으로 줄어듭니다. 이를 반감기라고 하는데요. 4월 20일에 네 번째 반감기가 왔습니다. 그래서 블럭 채굴 보상이 3.125비트코인으로 줄었습니다. 이와 함께 채굴 효율이 떨어지는 ASIC의 ... -
Read More
MS, 실시간으로 말소리에 맞춰 얼굴 영상을 만드는 AI
마이크로소프트가 영상 AI 모델인 VASA-1을 공개했습니다. 사람의 말소리를 받아서 거기에 맞춰 움직이는 얼굴 영상을 만들어 줍니다. 자연스러운 머리 움직임과 섬세한 얼굴 표정, 말소리와 정확하게 일치하는 입술 움직임까지 있습니다...
임시닉네임
카토메구미
위 글의 번역 기사인 것 같네요. 보안뉴스는 제휴가 되어 있는지 번역본 말미에도 저작권 표시가 되어 있고...
여하튼 잘 감은 안 오네요. 취약점이 있는 웹앱에 캐싱이 될 경우 캐싱 폴리시에 따라서 남들에게까지 취약점을 통한 공격을 할 수 있다는 이야기인 것 같은데, 그럼 일단 웹앱에 취약점이 있어야 하는 게 아닌지... 뭐, 요즘 웹이 워낙에 프레임워크 시대다 보니 프레임워크에 빵꾸가 나면 그럴 수도 있긴 하겠네요. 클라이언트단 보안 문제보단 서버단 취약점 가능성에 대한 보고인 듯.
파이어폭스는 취약점 보고서 들어가고 바로 업데이트 되었다고 하는 것 같습니다.