취미로(라고 쓰고 야매로) 틈틈히 공부하는 학생입니다.
인강이라고 하나요. 돈 받고 영상 보는 서비스 제공하는 사이트던데
음.. 뭐라고 해야할지.. OWASP 취약점처럼 널리 사용된다거나 그런건 아닌데
프로그래머가 의도하지 않은 행동을 할 수 있게 한다고 할까요..
정말 단순하고 간단한 시큐어코딩이 안된게 원인이라서 패치하는건 간단할거라고 생각하는데요..
그 간단한걸 안해서 회사측에 경제적으로나 보안적으로나 위협이 클것 같습니다.
지금 이 취약점으로 확인한내용은, 서버에 무단으로 영상업로드, 업로드된 영상 목록 조회, 재생, 삭제 정도..?
영상 재생같은경우는 원래는 돈을 지불하고 볼수있었던거였는데 그렇게 하지 않아도 재생, 다운로드가 되게 되고요.
영상 삭제, 업로드 같은경우는 상당히 위험하겠죠.
음.. 사실 중학생때도 지금찾은 취약점이랑 비슷한 원리의 취약점을 찾은적이 있었는데 그때는 교육부 주관 사이트였고 버그바운티도 모르던 때라 그냥 안심하고 제보했었는데요,
저기는 영리를 목적으로 하는 "한국" 사기업이라서.. 함부로 제보했다가 버그바운티는 커녕 소금맞는건 아닌지 모르겠습니다;;
(페북이나 구글 같은데면 돈이라도 주지..ㅜ)
음.. 좀 돌려 말하자면.. 어떤가요? 제 노력에대한 보상은 받을 수 있을..까요?? 아니면.. 괜히 시끄러운일에 말려드는 건 아닌지.. 이런 경험이 없어서
어떻게 하면 좋을지 모르겠습니다. 조언 부탁드려요!
