SIR
목록
이전글 다음글
jihan006

그누보드/영카트 보안취약점 리포트 #257 - 세션 고정 취약점

jihan?
프로필 보기이 회원 글보기이 회원의 댓글보기
 · 2년 전 · 2108 · 1

링크

https://github.com/gnuboard/gnuboard5/issues/257 (137)

 

 

로그인 전후에 세션 ID가 교체되지 않고 계속 사용하고있어 그누보드에서 발견되는 다른 취약점과 결합하여 세션고정 취약점으로 사용자 정보 및 권한 탈취 가능성이 있는 문제입니다.

 

이 취약점은 동작 방식의 문제이므로 굳이 비공개로 알리지 않았습니다.

 

현재 별도로 받은 답변은 없으나 문제를 고치고 있는 것으로 파악했습니다.

 

 

세션고정 취약점은 가장 쉽게 발견되는 편인데 이게 아직 제보도 안 됐고 고쳐지지도 않았다는게 정말 의외네요. 

 

https://github.com/gnuboard/gnuboard5/issues/257

|
글쓰기

댓글 1개

jihan?
프로필 보기이 회원 글보기이 회원의 댓글보기
 2년 전
(연달아 제 글이 3개 씩이나 되어 죄송합니다. 연휴에, 주말에, 새벽 시간이라 글 리젠이 느리군요)

댓글 작성

댓글을 작성하시려면 로그인이 필요합니다.

로그인하기
🐛 버그신고