R's Hacking Daily Log

대부분의 웹 사이트에서는 기본적인 로그인 기능에 더불어 사용자가 비밀번호를 잊어버렸을 때 사용할 수 있는 비밀번호 찾기 or 비밀전호 재설정과 같은 추가 기능을 제공한다. 웹 사이트는 일반적으로 로그인 페이지와 관련되어 잘 알려진 취약성을 방지하기 위해 노력을 기울이다 보니 추가적인 기능들과 관련된 취약점에 대해서는 간과하는 경우가 있다. 결과적으로 부가 기능의 허점을 이용하여 공격이 이루어질 수도 있고, 공격자가 자신의 계정을 만들 수 있는 경우에는 더더욱 많은 정보를 제공하게 되는 셈이다. ** "자신의 계정을 얻는다"는 건 허가된 사용자에게만 제공되는 페이지, 콘텐츠들이 노출되는 것이기 때문에 추가적인 공격 측면이 제공될 수 있다. 무조건 위험하다라기 보다 위험 가능성을 제공하게 된다는 것이다. K..