SharePoint에서 XSS 취약점(CVE-2017-8514)이 발견되었습니다. 이 취약점은 패키지 버전 및 온라인 버전에 모두 존재하며, 현재는 모두 패치가 완료되었습니다. PoC는 다음과 같습니다. http|https://?FollowSite=0&SiteName='-confirm(document.domain)-' 독일의 레드먼드매거진에 따르면, SharePoint와 OneDrive는 7.5만명이 넘는 고객이 사용중에 있으며, 1.6억명의 고객을 확보하고 있다고 합니다. SharePoint의 핵심기능은 바로 공유 기능인데, SharePoint가 제공하는 "Follow" 기능을 이용하여 손쉽게 다양한 정보들에 대한 업데이트 내역 확인이 가능합니다. 이때 SharePoint는 다음과 같은 POST req..

국내외 보안동향 2017. 6. 29. 15:50

jQuery Mobile을 사용하여 제작된 모바일 페이지에서 아직 패치되지 않은 XSS 취약점 존재!Every website that uses jQuery Mobile, and has any open redirect is vulnerable to XSS 최근, 구글의 보안연구원 Eduardo Vela가 jQuery Mobile 프레임워크에서 보안취약점을 발견하였습니다. 해당 취약점은 오픈 리다이렉트 취약점이 존재하는 jQuery Mobile로 구성된 모든 홈페이지에 존재합니다. 취약점 상세내용 몇 개월 전 Vela는 CSP(Content Security Policy) 우회방법을 찾아냈습니다. 이 연구과정 중에서 jQuery Mobile의 매우 재미있는 행위를 발견하였습니다. jQuery Mobile은 l..

국내외 보안동향 2017. 2. 13. 11:31