N 뭐시기 회사에서 운영하는 블로그랑 카페 서비스에서
블로그랑 카페 접속자 IP와 웹 브라우저 정보가 그대로 노출되서 제 3자에게 실시간으로 보이길래
버그바운티로 제보했는데
버그가 아니라 기능이라고 박박 우기면서
리워드가 나올 가능성이 전혀 없는 ㅈ같은 다른 경로로 제보하라고 하네
그래서 어떻게 했는지 공개함.
자기들이 버그가 아니라 기능이라는데 공개해서 뭐가 문제겠어
https://github.com/gnh1201/neverlost
GitHub - gnh1201/neverlost: 다양한 고객 지원 시나리오에서 사용할 수 있는 범용 이용자 추적 도구
다양한 고객 지원 시나리오에서 사용할 수 있는 범용 이용자 추적 도구. Contribute to gnh1201/neverlost development by creating an account on GitHub.
github.com
..
잘쓸겡
고마워 :) 잘 써줘
이게 왜 버그?
내 블로그와 카페에 접속하는 모든 사용자의 IP를 실시간으로 볼 수 있다는건, 사적 보복 우려도 있지 않을까? 최근에도 사례가 없진 않다고 들었는데
@딥다크코더 홍보추
아니 시발 이걸아직도 안고쳣다고 진짜 개병신들이네
버그가 아닌 기능이라고 오피셜했으니 이제 누구나 자유롭게 이용하면 되는것임
이걸로 네이버카페에서 신상몇번 털던거같던데 - dc App
그때의 간접적 정보보다 더 정확하고 많은 정보를 가져올 수 있어. 최근에 있었던 신상털기와는 다른 고품질 정보를 얻을 수 있음.
웹비콘인데 유저가 걍 좆대로 심을 수 있는거임? ㅋㅋㅋㅋㅋ
응 그냥 ㅈ대로 심기 가능 ㅋㅋ
굿 ㅋㅋㅋㅋㅋㅋ
ㅋㅋㅋㅋ
해당 댓글은 삭제되었습니다.
ㅋㅋㅋㅋ
기능추 - dc App
좋은 기능은 다 같이 써야하는 법
상용서비스들 찐빠난거 제보하면 입 싹닫고 고치거나 기능이라고 박박 우기는데 새끼들 ㅈㄴ 음습함 - dc App
음습하니까 그걸 적극적으로 활용해줘야 한다고 생각함.
해당 댓글은 삭제되었습니다.
막으려면 막겠지만... 버그가 아니라 기능이라고 했으니 오히려 나한테는 다행이지
이게 버그니? 제 3자 코드 개념이 없네. HTML 위젯이 뭔지 몰라? 블로그 주인장이 방문자 정보를 추적하는 행태라고. 저건 저 추적코드를 넣는 블로그 주인장이 문제인 거야. 법적으로도 네이버 잘못이 아님
그니까 그게 허용해야되는 어쩔 수 없는 경우가 있는건 아닌데, 저건 그런 어쩔 수 없는 경우가 아니라 추적 목적으로 쓰이지 않도록 완화해야할 영역이잖아.
@딥다크코더 저 방식처럼 자세한 정보를 얻는게 아니어도, 이전에 간접정보 노출 만으로도 문제가 되었던 영역에서 왜 저걸 무제한 허용함? 그것도 오랜 기간 동안. 뭐 본인들이 문제가 없다 했으니 계속 쓸 수 있어서 나는 좋지만말야
@딥다크코더 PII 기준이 해커원보다 빡세긴해
@미루나무 정작 다른 방식은 막아놓고선 우회 방법을 인정 안해주는게 아쉽긴하지만, 어쩔 수 없지 ㅠㅠ
버그라고 하기 살짝 애매하지만 네이버가 위젯에 쓰이는 이미지를 자기 서버에서 미러링해서 보내줘야 할 거 같은데 저런 거 전자우편 추적에서도 쓰여서 대부분의 전자우편 클라이언트들이 이미지를 막는 이유기도 하던데
이미지(img) 태그에 대해선 그걸 이미 적용했지만, 인라인 스타일로 불러오는 것은 적용하지 못한 것 같아.
@딥다크코더 그러게
살인이 일어나야 바뀌는 대한민국
아니 블로그주인이 저걸 심어야 볼수잇는데 이게어케취약점이야
애초에 저거보다 구글 애드센스가 더 정보 많이, 정확하게 가져감
그리고 너가만든거 보면 너 서버로 아이피랑 브라우저 정보 다 가게되어있는데 그게 ㄹㅇ 스파이웨어 아니냐? ㅋㅋ
참교육 ㄷㄷ