본문 바로가기

보안

웹하드에서 비밀번호가 해킹되고 있다


웹하드에서 내 비밀번호를 해킹당할 수 있다? 

이 글은 수 많은 웹하드 사용자들에게 위험을 알려드리기 위함이지
특정 웹하드를 비하하거나 폄하하는 글이 아님을 밝힙니다.




몇달전 이전 블로그에서 xss를 이용한 웹하드 해킹에 대해서 포스팅한 적이 있습니다.
내용을 대략적으로 간추리자면 ssx기법을 이용하여 해킹하고자 하는 대상(타켓)에게 쪽지를 보낸 뒤
쿠키값을 가로채서 해당 쿠키값을 입력하면 타켓(대상)으로 로그인(해킹)이 된다는 글이었습니다.

당시 이웃블로거가 특정 웹하드에서 아이디를 해킹당했다고 문의를 하셔서 
이것저것 조사를 하다보니 그 심각성이 도를 지나친것 같아서 포스팅 했던 기억이 납니다.
오늘은 또 다른 문제점을 발견했기 때문에 이렇게 포스팅 합니다.
지난번처럼 깊게 파고들기에는 너무 복잡하니.. 간단히 요점만 짚고 넘어가겠습니다.


웹하드 해킹의 근본적인 문제점은 ?


<xss기법>


근본적인 문제는 최근 우후죽순 생겨나는 웹하드가 "모두 똑같다" 라는 겁니다.
예전과 다르게 요즘같이 넘처나는 웹하드 사이에서 살아남기 위한 방법은 결국
단가싸움 입니다. 그러다보니 프로그램 및 웹 구축 모두 업체에서 제작하는 것이
아니라 외주를 두고 사오는 형식이 되어 버립니다.
결과적으로 상호 및 호스팅만 다를 뿐 모두 같은 모습, 같은 시스템을 사용하는 겁니다.

판매업자는 빨리 만들어 싸게 그리고 많이 파는 것에 집중하기 때문에 보안에 허술합니다.
웹하드 업체에서는 싸게 사서 운영하는게 목적이기 때문에 보안에 허술합니다.
어느 한쪽도 보안에 신경쓰지 않기 때문에 웹하드는 취약할 수 밖에 없습니다.

특정 웹하드의 취약점을 발견해서 그로인해 해킹이 가능하게 되면 그와 동일한
솔루션을 사용하는 타 웹하드에도 해킹이 가능하다는 것이 가장 큰 문제입니다.
 

무분별한 해킹과 개인정보 노출

일전에 xss기법을 이용해서 쿠키값을 가로채 웹하드를 이용중인 특정 사용자의 
아이디를 해킹할 수 있다고 포스팅한 적이 있습니다. 대부분의 웹하드에서 사용자를
판단하는 기준이 쿠키중에서 mid값 인데 이 mid값을 자세히 분석해 보니 사용자의
id를 특정 값으로 바꾼 뒤 뒤에서부터 나열한 것에 지나지 않았습니다.

a에서 z까지 그리고 0부터 9까지의 특정 값을 알고 있다는 가정하에 
웹하드 사용자들의 id만 알 수 있다면 모두 해킹이 가능하다는 결론이 나옵니다.

a부터z까지 그리고 0부터9까지의 값을 어떻게 알 수 있냐고 물으신다면 ..
해당 mid값은 특정값으로 되어있고, 이를 모른다고 해도 아이디를
abcdefgh, igklmnop, 이런식으로 전부 만들어서 각 알파벳 혹은 숫자의 고유값을
찾아낼 수 있습니다. 해킹하고자 마음만 먹는다면 누구나 해킹 당할 수 있다는 겁니다.
이미 이런 방법은 널리 알려져 있었고 웹하드를 겨냥한 해킹프로그램을 판매하는
경우도 본적이 있습니다..





왼쪽 그림의 경우에는 비밀번호 변경 페이지로 들어갔을 때
기존 비밀번호를 입력한 뒤 비밀번호를 바꿀 수 있습니다.
이런 경우 문제가 되지 않지만..

오른쪽 그림의 경우에는 비밀번호 변경 페이지로 들어갔을 때
기존 비밀번호가 이미 입력되어 있는 상태로 아무런 제제없이 비밀번호를 변경할 수 있습니다.
이미 기존의 비밀번호가 입력되어 있는 상태입니다..
이 페이지에서 우클릭 후 소스를 확인하면 기존의 비밀번호를 알아낼 수 있습니다.


<소스보기로 비밀번호 확인이 가능하다>

사실 웹하드 아이디를 해킹당하는 것에 대한 거부감은 그렇게 심하지 않습니다.
대수롭지 않게 넘길 수 있는 부분일 수도 있습니다. 하지만 저런식으로 비밀번호를 확인할 수 있다면
그 심각성은 웃어 넘길 수 있는 수위를 넘었다고 할 수 있습니다.

일반적으로 대부분의 사용자들은 동일한 아이디와 동일한 패스워드를 사용하기 때문에
웹하드에서 유출되는 아이디와 비밀번호로 인해서 제2, 3의 피해를 입을 수 있습니다.

메신저에서 알고 지내는 사람 혹은 이메일을 주고받는 사이라면.. 그 사람의 id를 알 수 있습니다.
그렇다면 해당 id를 mid 고유 값으로 수정한 뒤 수십여개의 웹하드를 돌아다니면서 대입할 수 도 있습니다.
대부분의 사람들이 웹하드 한 두개쯤은 사용하기 때문에 해킹에 성공할 수 있는 확률이 높습니다.
그리고 비밀번호 변경에 들어가서 비밀번호를 얻어 낸다면....?


사용자가 바라는 것은.. 



일전에 xss기법을 통한 해킹이 가능하다고 몇몇 웹하드업체에 문의르 했습니다.
이때가 5월 중순이었던 것으로 기억하는데.. 아직도 xss기법에 대한 보안이 전혀 되어있지 않습니다.
사용자가 바라는 것은 자료의 양도 중요하지만 보다 안전하게 이용할 수 있는 웹하드가 아닐까 생각합니다.

웹하드를 사용하시는 분들은 물론 웹하드를 사용하지 않는 분들도
기본적으로 패스워드를 2~3개 정도 사용하는 것이 바람직하다고 생각합니다.
물론 비밀번호를 자주 변경해주는 것이 가장 좋지만, 귀찮으시다면
신용하는 사이트에서 사용하는 패스워드와 그렇지 않은 곳에서 사용하는 패스워드로 구분하여
사용하는 것을 권장해드립니다.. ^^

보다 많은 분들이 이 글을 읽고 주의하셨으면 하는 마음에 포스팅합니다..