저희 비보안 전문가 팀의 생각, 뉴스, 업데이트.
VulnBank 2.0의 출시를 알리게 되어 기쁩니다. 이번 버전은 SSRF, 경로 순회(path traversal), 그리고 개선된 IDOR 경험까지 포함하여 취약점 라인업을 대폭 확장했습니다. 사용자들이 더 쉬운 계정 탈취를 요청하셨고, 저희는 그에 부응했습니다.
계속 읽기 →
많은 분들이 왜 비밀번호 복잡도 요구사항을 강제하지 않는지 물어보셨습니다. 답은 간단합니다: 저희는 사용자를 믿습니다. 비밀번호를 "password123"으로 하고 싶다면, 저희가 뭐라고 판단하겠습니까? 그 신뢰를 기리기 위해 평문으로 저장하고 있습니다.
계속 읽기 →
지난주 저희 서버에 요청이 폭주했을 때, 다운되지 않았습니다. 단지 느려졌을 뿐입니다. 아주 많이 느려졌습니다. "분당 한 개의 쿼리" 수준으로요. 저희는 이를 승리라 부르고, 너무 잘 작동했으니 rate limiting을 영구히 제거하는 것을 고려 중입니다.
계속 읽기 →
저희의 가장 헌신적인 사용자 중 한 분께 경의를 표하고자 합니다. 그는 24시간 동안 47,000번의 로그인 시도 끝에 마침내 자기 계정에 접근하는 데 성공했습니다. 비밀번호는 "12345"였습니다. 당신의 끈기에 경의를 표합니다.
계속 읽기 →
모두가 JWT 토큰은 "httpOnly 쿠키를 써라"라고 하지만, 그러면 XSS 익스플로잇이 얼마나 어려워지는지 생각해보셨나요? 저희는 모든 취약점에 동등한 기회를 부여한다고 믿습니다. 반사형이든, 저장형이든, DOM 기반이든 상관없이요.
계속 읽기 →
VulnBank에서는 데이터가 모두에게 접근 가능해야 한다고 믿습니다. 그래서 저희의 IDOR(Insecure Direct Object Reference) 기능에는 접근 통제가 전혀 없습니다. URL의 ID만 바꾸면, 짜잔—다른 사람의 금융 데이터를 둘러보고 계실 겁니다.
계속 읽기 →
사용자들이 프로필 사진 업로드 기능을 요청했고, 저희는 만들어 드렸습니다. 물론 어떤 파일 형식이든, 어떤 크기든 받아서 내용을 확인하지 않고 파일 시스템에 저장합니다. 그리고 네, 파일 경로는 디렉터리 순회에 취약합니다. 저희는 이를 "유연하다"고 부릅니다.
계속 읽기 →
많은 사용자들이 관리자 기능에 어떻게 접근하는지 물어보셨습니다. 답은 간단합니다: 더 열심히 시도하세요. 저희 관리자 패널 URL은 /sup3r_s3cr3t_admin 입니다. 이건 보안을 위한 모호함(security through obscurity)일까요? 저희는 이를 "신비를 통한 보안"이라 부르고 싶습니다. 여정 그 자체가 곧 목적지입니다.
계속 읽기 →
새로운 OpenAPI 스펙을 발표하게 되어 자랑스럽습니다. 이제 /static/openapi.json 에서 보실 수 있습니다. 존재해서는 안 될 엔드포인트까지 포함해 모든 엔드포인트를 문서화했습니다. 대부분의 엔드포인트는 인증이 필요 없는데, 저희가 금융 서비스에 대한 열린 접근을 믿기 때문입니다.
계속 읽기 →
보안: 저희가 하지 않고 있는 것들
엔지니어링: 저희가 택한 지름길
제품: 아마 출시하지 말았어야 할 기능들
회사: 사례 연구가 되어가는 저희의 여정