조회 수 745 좋아요 4 댓글 4
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄

최근에 새로 오픈한 국내 거래소중에 올스XX이라는 곳이 있습니다.

 

나름대로 인공지능 보안이니 뭐니 하면서 보안에 자신이 있다고 홍보하고 있는 곳입니다.

 

아직 모의 테스트 단계이기는 하지만 테스트 시작을 알리면서 "기술적으로는 완벽한 마켓이 준비되어 있습니다"  라고 공표하였습니다.

 

제가 간단히 10분정도 분석해본결과 가장 기본적인 곳에서 부터 보안 취약점들이 너무 적나라하게 드러났습니다.

 

올스XX 측의 기만행위를 중지시키고, 혹시 있을 사용자 피해를 예방하기 위해 이글을 씁니다.

 

아래에 현재 밝힐 수 있는 두가지 문제점을 서술 하겠습니다.

 

 

[통신이 암호화 되지 않음]

사이트 전체적으로 https 연결을 단 한군데도 사용하지 않고 오로지 http연결만 사용 합니다.

그럼에도 불구하고 통신을 암호화 하기 위한 다른 어떤 대체수단이나 미들웨어도 없으며,

주요 정보만이라도 따로 암호화 해서 보내는 장치 또한 없습니다. 

로그인이나 회원 가입 페이지도 마찬가지이고 가입 및 로그인시 아이디와 암호의 원문이 http 통신을 통해서 그대로 전송 됩니다.

https 연결을 사용하지 않는다면 적어도 사용자 암호만이라도 hash화 하여 전송했어야 한다고 생각합니다.

 

제가 이 문제를 올스XX측에 알린지 1주일 정도 경과하였으나

아무런 개선점이나 사용자에 대한 경고 없이 사이트를 계속 5일정도 운영하다가 약 3일전부터는 오픈전 마지막 점검 상태에 들어간 상태 입니다. 

혹시 해당 거래소에 가입하시면서 다른 사이트와 같은 암호로 가입 하신분이 계시다면 다른 모든 사이트의 암호를 변경하시기를 추천합니다.

 

 

[인증절차의 허술한 로직]

가입시 메일 인증을 하게 되는데 서버에서 인증코드를 생성하여 사용자 메일로 보내는 방식이 아니라

사용자 컴퓨터상에서 인증코드가 생성이 되어 서버로 원문그대로 전송하고 서버는 그 코드를 다시 메일로 전송하는 방식 입니다.

인증코드를 인증 받아야 하는 당사자가 직접 생성하여 검증자에게 알려주는 비상식적인 구조를 가지고 있습니다.

가입시점에 크롬 개발자 도구 등으로 살펴보면 누구나 메일 확인 없이도 이 인증 코드를 알 수 있습니다.

이것을 악용하면 다른사람의 이메일주소로 인증을 받거나 심지어 존재하지 않는 이메일주소로도 인증을 받을 수 있습니다.

 

 

 

 

-------------------------------------

꼬리말

* 게시글 내용 삭제레벨 강등

* 질문은 각 주제별 게시판에.

 

비트코인 암호화화폐 커뮤니티 땡글~ 땡글~

-------------------------------------

Comment '4'

List of Articles
번호 제목 좋아요 조회 수 글쓴이 날짜
1312 美 MS, 75억 달러에 '깃허브' 인수… 8 1 1234
MUSO
2018.06.05
1311 [펌] 코인판 현시점 분석 (다수 요청글) 33 file 48 8958
도롱뇽의추억
2018.06.05
1310 이더리움, 1~2개월 안에 샤딩·캐스퍼 기술 적용... 이오스와 주도권 경쟁 15 file 8 3851
도롱뇽의추억
2018.06.04
1309 [8비트] 랜섬웨어 ‘마이랜섬’ 재출현! 익명성 강한 대시코인 요구 file 5 948
8비트
2018.06.04
1308 비트코인으로 부동산 1 file 892
하비비
2018.06.04
1307 Bettium 아드바이저 file 195
Lanmaria
2018.06.04
1306 사파이어 rx580 4gb 291800원 -.-;; 낚시일까요? 9 1 1401
만뒤
2018.06.04
1305 뱅케라 상장소식 file 1486
도롱뇽의추억
2018.06.04
1304 암호화폐를 사랑하시는 땡글 여러분! 이더랜드 새소식 및 중국 진출을 함께 모색할 파트너 분들 모집해요~! 8 file 9 2107
엘린이
2018.06.04
1303 [라이크코인] 상장 소식 1 file 1 520
korlic1979
2018.06.04
1302 뉴욕주 의회, 가상화폐 태스크 포스(TF) 만든다 1 347
랄라
2018.06.04
1301 lisk 세계 1위 거래소 ok코인에 상장. 3 file 2 1128
풀트리
2018.06.04
1300 이더리움 결국 초당 1백만 건 트랜잭션 처리할 것 7 12 2868
Firstouch
2018.06.04
1299 비트렉스 달러로 암호화폐 구입가능 606
Firstouch
2018.06.03
1298 러시아 월드컵 암호화폐 시장 호재 될까? 1 2 1044
Firstouch
2018.06.03
1297 2014년의 톱10 알트코인, 지금은 어떻게 되었을까? 5 6 3235
댄서
2018.06.02
» 국내 신규 거래소 올스XX 보안취약 주의 4 4 745
코드그루
2018.06.02
1295 [8비트] 국내 게임업체, 가상화폐 '큰손' 부상..넥슨, 115억 달러 3 file 10 2661
8비트
2018.06.02
1294 이오스 1억2천만달러 이더 매각준비 11 file 10 5800
도롱뇽의추억
2018.06.02
1293 ICO 진행중인 Tradingene, 트레이딩진 file 258
로그잉
2018.06.01
목록
Board Pagination Prev 1 2 3 4 5 6 7 8 9 10 ... 70 Next
/ 70