무려 닷새 만에 카카오에서 답변이 왔고
스크립트를 넣을 수 있는 것 자체가 서비스의 스펙이라 하길래
구문을 넣을 수 있는 것 외
넣은 구문이 실행되는 것 또한
의도된 허용 범위에 포함되는지
다시금 물었더니
답변이 처음과 동일하게 모호하게 왔다.
결국 스크립트를 넣을 수 있는 것 자체가
- 티스토리 서비스의 스펙이고
- 기능으로써 허용한다
라는데
이걸 이대로 접어야 하나
아님 다시금 문의를 해야 하나
악용하려고 마음만 먹으면
할 수 있는 게 참 많은데
이런 문제의 심각성을 인식하지
못하는 것인지
처리하기 귀찮아서
모호한 답변으로 대충 때우려는
것인지
아님 정말로
문제가 없다고 판단한 것인지
모르지만
분명 취약점으로 분류되는데
이런 식으로 허용 범위라며
방치했다가는 큰 코 다칠 일이
생길 것이다.
얼마 전 터졌던
카카오 서버 사건이 떠오른다.
버그 바운티 제보에 대한
보상은 고사하고 커리어로
한 줄 넣어볼 생각이었는데
'원래 되는 거야!' 라니
해프닝으로 끝내야 하나 싶지만
직업윤리상 그럴 수는 없을 것 같고
우선 이게 정말 의도된 허용인지
확인을 해봐야겠다.
해당 게시글을 첨부, 참조시켜
추가 문의를 진행해 본다.
문의 내용 전문은 다음과 같다.
----------------------------
안녕하세요
주신 답변이 조금 모호한 관계로
확실히 확인해 보고자 다시금 문의를 드립니다.
"스크립트를 넣을 수 있는 것 자체가 티스토리 서비스의 스펙이므로
현재까지는 기능으로써 허용해 주고 있다" 하셨는데
여쭤보고 싶은 것은
1. 스크립트 구문을 게시글에 넣는 것, 그러니까
스크립트를 단순히 입력할 수 있는 것뿐만 아닌
입력시킨 스크립트가 실행되는 것까지가
티스토리 측에서 정한 허용 범위인지 확인하고 싶고
2. 만약 그렇다고 한다면 보안적인 관점에서
그렇게 허용하는 것에 아무 문제가 없다고
확인 또는 검증이 되신 건지 궁금합니다.
아래는 2016년도에 XSS 취약성 관련되어 티스토리 측에서
올렸던 공지 글입니다.
https://notice.tistory.com/2294
3. XSS 취약성에 대해 인지하셨기 때문에 고객 대처 차원에서
해당 글을 올려주신 것 같은데 이번 경우는 왜 해당이 안 되는지
궁금합니다.
답변 기다리겠습니다.
감사합니다.
----------------------------------
답변을 기다려 본다.
'정보보안공부 > 버그 바운티' 카테고리의 다른 글
티스토리 버그 바운티 마무리 (1) | 2022.12.16 |
---|---|
티스토리 버그 바운티 제보 (5) | 2022.11.25 |