'제4회 TS 보안 허점을 찾아라!' 후기

esther, BOB 친구 2명과 함께 KuteKat 이라는 팀명으로 대회를 나가게 되었다. 사실 아쉬운 점은 많지만 새로운 친구도 사귀고 버그바운티성 대회에 참가할 수 있어서 좋은 경험이었다!

 

 

[ 대회 운영 ]

음.. 이번 대회를 한마디로 정리한다면 '이딴게 대회...?' 였다. 하핳.. 이번 대회시간은 총 12시간였다. 저번 대회는 총 이틀동안 했다고 하는데, 12시간도 짧지만은 않은 시간이었다. 문제는 분석할 시간이 부족했다! 서버가 계속 터져서 1분 분석하고 3분 멍때리고, 1분 분석하고 3분 멍때리고 이게 반복이였다. 로딩 아이콘이 빙빙 도는 걸 보는데 내 머리도 같이 도는거 같았다.

그래 이렇게 많은 사람들이 분석하는데 터질 수 있지 라고 생각을 했다. 근데 더 큰 문제는 보고서를 내는 사이트... 하... 특이하게 이 대회는 취약점 보고서를 메일로 받지 않고 사이트에 올리는 형식이였다. 그래서 그 사이트에 취약점 찾은걸 하나하나 올리는데 하나 올리는 데도 거의 5분 걸렸다. 그런 와중에 꾸역꾸역 올렸는데, 중간에 다 날라갔다는 거..? 그래서 다시 올리고 있었는데 또 다 사라졌다는거...?

 

[ 웹 취약점 분석 & 피드백 ]

불과 3,4달 전에 비슷한 형식의 대회를 나갔었다. 웹 사이트의 취약점을 찾아 보고서를 내는, 버그바운티 형식의 대회. 그때와 나를 비교하면 별반 다를게 없다. 이 표현이 적절한 거 같다. 내가 찾은 보고서를 보면 비슷비슷하다. XSS, 인증 우회, 프로세스 검증 미흡이 대부분이고, 소스코드 분석 후 숨겨진 페이지를 찾거나 url 직접 접근하는 거. 정말 critical한 취약점은 못찾았다.

전에 본 강의가 기억에 남았다. 기업의 경영진 이런 분들은 취약점 보고서를 봐도 뭐가 뭔지 모른다. alert()창 띄운게 왜? 쿠키값이 뭐? 라는 생각을 한다고 했다. 결국 고객의 정보를 빼내거나 기업의 비밀을 유출시키거나, 서비스를 운영하지 못하게 하거나 정말 critical 해야 '보안에 좀 더 신경을 써야겠는데?' 라는 생각을 한다고 한다.

그런 점에서 나는 아직 멀고도 멀었구나 생각이 들었다. 내가 쓴 본고서들을 '모의해킹' 관점으로 본다면 큰 의미가 없는 보고서들 이었다.

 

[ 앞으로의 나의 계획 ]

웹 진단을 더 잘하려면 어떻게 해야할까?

1. 시큐어 코딩을 해보자. ts 대회는 매년 진행하면서 xss와 같은 자주 발생하는 취약점은 대응을 잘해둔 상태이다. 실제 웹사이트들은 이런 취약점에 대해 어떻게 대응하고 있는지, 또 해커들은 이런 취약점을 어떻게 뚫고 있는지에 대한 이해가 필요하다.

2. 버그바운티에 주기적으로 참여하자. 사실 하면 늘수밖에 없다. 작년의 나와 지금의 나를 비교하면?? 정말 차이가 많이 날 것이다. 그때보다 지금 웹해킹 공부를 어마어마하게 많이했나? 사실 그렇진 않다. 다양한 분야를 접했고, 웹은 ctf나 대회나가면서 가끔씩? 근데도 차이가 꽤 난다. 그러니까 이제는 대회보단 버그바운티나 웹 관련 cve를 분석하면서 실무 경험을 쌓아보자.

3. 인턴/교육. 위에서 실무경험을 말했는데 혼자서 그런 경험을 쌓기엔 부족하다. 속도도 더딜것이고. 인턴이나 BOB와 같은 교육은 좁았던 나의 시야를 넓혀줄거라 생각한다. 지금 웹 진단을 하면서 보는 시야와 이런 경험을 하고 나서의 시야는 확연하게 차이가 날 것이다.