평소에 블로그는 개인 공부 정리하는 용도로만 사용했는데 최근에 해킹존에서 진행한 CTB 이벤트에서 좋은 성적을 거둬서 후기를 적어보려고 합니다 :) 군대 전역하고 다시 보안 공부하면서 해킹존이라는 버그바운티 플랫폼을 알게 돼서 몇 가지 취약점도 제보하고 서비스 관련 인터뷰도 진행했었습니다. 그리고 학교 수업과 SSL 프로젝트를 병행하며 정신없이 지내다가 프로젝트도 마무리하고 방학도 할 때, 해킹존에서 크리스마스 기념으로 Capture The Bug를 진행한다는 메일을 받았습니다.
사실 처음에는 가벼운 마음으로 참여를 했었는데, 생각보다 많은 프로그램이 이벤트 대상으로 올라오고 그만큼 분석하고 다양한 취약점을 찾을 수 있어서 밤새면서 분석했던 것 같습니다. 프로그램은 웹과 앱을 대상으로 진행했고, 앱의 경우 Nox를 이용해서 동적 분석을 진행했습니다.
21.12.20 ~ 21.12.27일까지 진행되었는데 긴 기간 동안 최대한 많은 취약점을 찾으려고 하다 보니 체력적으로 힘들긴 했습니다 ㅋㅋ 결과적으로는 총 17가지의 유효리포트를 제보하면서 2등을 했습니다. (Onthelook이라는 프로그램에서는 1등을 해서 온더룩 50% 할인쿠폰을 얻었습니다 ㅎ)
보안을 공부하시는 분들은 CTF뿐만 아니라 이런 버그바운티를 통해 실제 프로그램을 대상으로 분석해보는 것도 많은 도움이 될 것이라고 생각합니다. 해킹존에서 앞으로도 이와 같은 많은 이벤트를 진행한다고 하니 관심 갖고 참여하시면 좋을 것 같습니다 :)
이번에 웹, 앱을 대상으로 취약점 분석을 진행하면서 느꼈던 점을 간단히 정리하면서 글을 마치겠습니다.
- 모바일앱의 경우, 서버 응답의 무결성을 검증하지 않고 신뢰하는 경우가 많다.
- 단순히 기능적인 분석만 수행할 것이 아니라, 서비스의 전체적인 내용에 대해 인지하면 더 도움이 된다.
- 취약점을 발견하면 해당 부분이 왜 취약한지 서비스 측면에서 잘 설명해야 한다.
(당연한 내용이지만 ㅎ)
'Security' 카테고리의 다른 글
| Apport Exploit Analysis (0) | 2022.02.26 |
|---|---|
| Windows UAC Bypass (0) | 2022.02.24 |
| 3D Accelerated Exploitation 분석 (0) | 2022.01.03 |
| CVE-2019-1436 1-day 분석 (0) | 2021.12.23 |
| [Black hat USA 2020] Exploiting Kernel Races through Taming Thread Interleaving 리뷰 (0) | 2021.11.27 |
