VeraPort: ซอฟต์แวร์จัดการแอปพลิเคชันของเกาหลีที่ทำงานได้ไม่ถูกต้อง

คำแปลภาษาเกาหลี: https://github.com/alanleedev/KoreaSecurityApps/…

สารบัญ

• สรุปสิ่งที่ค้นพบ
• เว็บไซต์ธนาคารแจกจ่ายแอปพลิเคชันอย่างไร
• วิธีการทำงานของ Wizvera VeraPort
• การป้องกันจากนโยบายที่เป็นอันตราย
• ช่องโหว่ด้านความปลอดภัย
  • การปกป้องข้อมูลระหว่างการส่งไม่เพียงพอ
  • allowedDomains ที่ตั้งค่าไว้กว้างเกินไป
  • ใครเป็นผู้ถือคีย์สำหรับการลงนาม?
  • หน่วยงานออกใบรับรอง
• การโจมตีแบบ exploit ที่รวมหลายช่องโหว่เข้าด้วยกัน
  • การใช้งานไฟล์นโยบายที่มีอยู่เดิมจากเว็บไซต์อันตราย
  • การรันไบนารีที่เป็นอันตราย
  • การลบเบาะแสทางภาพ
• ข้อมูลรั่วไหล: แอปพลิเคชันภายในเครื่อง
• ช่องโหว่ของเว็บเซิร์ฟเวอร์
  • HTTP Response Splitting
  • XSS แบบถาวรผ่าน service worker
• การรายงานปัญหา
• อะไรที่ถูกแก้ไขแล้ว
• ปัญหาที่ยังคงเหลืออยู่

นี่คือบทความสุดท้ายของซีรีส์เกี่ยวกับแอปพลิเคชันความปลอดภัยของเกาหลี (อย่างน้อยก็ในตอนนี้?)
ต่างจากแอปพลิเคชันก่อนหน้า ดูเหมือนว่าปัญหาหลายอย่างที่ค้นพบจะถูกแก้ไขไปมากแล้วก่อนที่บทความนี้จะเผยแพร่
แต่ก็ยังมีปัญหาเชิงโครงสร้างที่ยังคงหลงเหลืออยู่