Korece çeviri: https://github.com/alanleedev/KoreaSecurityApps/…
İçindekiler
- Bulunanların özeti
- Banka web siteleri uygulamaları nasıl dağıtıyor
- Wizvera VeraPort nasıl çalışıyor
- Kötü amaçlı politikalara karşı koruma
- Güvenlikteki delikler
- Aktarım sırasında veri korumasının yetersizliği
- Fazla geniş tanımlanmış
allowedDomains - İmza anahtarları kimde?
- Sertifika otoritesi
- Delikleri birleştiren exploit
- Kötü amaçlı web sitesinde mevcut politika dosyasını kullanma
- Kötü amaçlı binary'nin çalıştırılması
- Görsel ipuçlarının kaldırılması
- Bilgi sızıntısı: yerel uygulamalar
- Web sunucusu zafiyetleri
- HTTP response splitting
- Service worker üzerinden kalıcı XSS
- Sorunu bildirmek
- Neler düzeltildi
- Kalan sorunlar
Bu, Kore güvenlik uygulamalarıyla ilgili yazı dizisinin (şimdilik?) son yazısı.
Önceki uygulamalardan farklı olarak, bulunan birçok sorunun yazı yayımlanmadan önce büyük ölçüde giderilmiş olduğu görünüyor.
Ancak hâlâ devam eden yapısal sorunlar da var.
3 yorum
Utanç verici.
Bilginize, ana metnin ilerleyen kısmında KrCERT'in birkaç güvenlik uzmanının e-posta adresini yanlışlıkla ifşa ettiği olayın yurt içi haberleri aşağıdadır.
KrCERT'in (KISA İnternet Koruma Ülkesi) ülkenin ve vatandaşların güvenliğini koruması gereken bir yerde bile durum buysa,
diğer devlet/kamu kurumları nasıldır kim bilir....
Böyle bir durumdayken hâlâ dijital bir güç olduğumuzu söylemeleri utanç verici.