어떤 스포츠를 하고 있는데요... 해당 스포츠는 터치패널로 스코어가 기록되고 어플로 점수확인 및 리플레이가 가능합니다.

리플레이를 휴대폰 화면이 아닌 컴퓨터 큰화면으로 보고 싶어 하던차에

어플을 유심히 보니 대다수 기능이 네이티브앱이 아닌 하이브리드형 앱으로 보이더라구요 (웹뷰)

 

패킷캡쳐하는 어플로 보니 역시나 http 연결을 하더라구요... 여차저차 해당 웹주소로 접근을 해보니

PC에서도 무리없이 접속 및 로그인이 가능합니다.

 

컴퓨터로 리플레이를 보다가 문득 하이브리드 웹페이지 소스는 어떤식으로 구성되있을까 궁금해서 콘솔로 구경해보는데...

충격적이네요...

 

일단 SSL은 지원하지 않고...

심지어 어플내에서 사용하는 포인트등을 가/감 하는 서비스들은 자바스크립트에 의존해서 돌아가네요... 

JS 포인트 변수와 필요한 포인트를 자바스크립트로 비교연산 이후 특정한 URL로 리턴시켜주는데

설마하고 콘솔로 해당 포인트 변수를 조작하고 저장해보니 그대로 포인트가 저장되네요...? ㅡ,ㅡ;;

 

보통은 포인트등의 정보는 서버사이드에서 연산하지 않나요...?? 어차피 디비상에 포인트를 가/감 할때

서버사이드 언어를 사용할텐데 왜 연산을 자바스크립트에 맞기나 의문이 들더라구요...

당연히 디비부분도 직접 제작을 하던 외주를 주던 할텐데... 저 포인트 연산하는걸 JS로 구현해야 될만큼

서버사이드 언어로 제작하면 비용이 부담이 되는걸까요...?? JS나 PHP나 별 차이가 없을텐데...

 

프로필이미지를 등록하는 부분 또한 form 파일의 속성에만 의존하여.. 확장자 제한을 풀어버리면 실제 이미지인지

검증여부 없이 업로드가 가능해보이네요... 이러면 shell 같은 공격에 취약한것으로 알고있는데...

 

 

2020년도에 서비스하는 어플리케이션이 이렇게나 황당하게 만들어져 있으니 좀 당혹 스럽더라구요...

국내에 비슷한 솔루션이 몇개 없어서 사용자가 꽤나 많은것으로 알고 있는데요...

당연히 외주를 주던... 전문가분들이 만들었을텐데... 이렇게 날림으로 만들어서 서비스하는 경우가 종종 있을까요??

만들어 놓은거 보니... 회원 개인정보 유출이 언제가 되던 아주 당연해 보이는데요... ㅠㅠ

  • ?

    https://stackoverflow.com/questions/857670/how-to-connect-to-sql-server-database-from-javascript-in-the-browser
    아예 서버사이드 스크립트 없이 SQL 서버가 웹서버를 돌려서 브라우저에서 직접 수정을 받게 하는 기능이 있나 보내요

    아마 저 서비스에 서버사이드 스크립트가 아예 없을 확률이 꽤 되어 보이네요

    SQL 2005+ supports native WebServices that you could almost use although I wouldn't suggest it, because of security risks you may face. Why did I say almost. Well Javascript is not SOAP native, so it would be a bit more complicated to actually make it. You'd have to send and receive SOAP via XmlHttpRequest. Check google for Javascript SOAP clients.

  • ? profile
    저두 처음에는 nodejs 나 angularjs 가 아닐까 싶었는데... 처리하는 방식도 ajax같은게 아닌 get/post 방식이더라구요... 응답헤더 확인해보니 asp로 만들어진 사이트네요ㅠㅠ
  • profile
    개발비가 모자랐나 보네요.
    대충 만든겁니다 ㅎ
  • profile profile
    저 서비스 이용자가 수십만명은 되는거 같은데... 개인정보가 취급되는 만큼 특히나 상업서비스 라면 최소한의 보안에는 투자가 되었으면 좋겠네요
  • profile
    여담으로 국내에서 1~2위 하는 P.O.S 의 경우에도 웹페이지에서 매장별로 관리자 기능을 수행가능한데... 이거 같은 경우도 파라미터값만 적당히 손보면 본인의 사업장 정보가 아닌 다른 사업자의 매출정보 및 상품정보, 고객정보등을 볼수 있었던게 기억나네요... 불과 2~3년전이였는데 지금은 개선되었을지 궁금하네요

    상업적인 서비스들... 그것도 국내에서 꽤 큰 규모로 운영중인 서비스들이 오픈소스인 XE, RX, 그누보드 등의 CMS보다도 허술한걸 보면 기분이 참 묘하더라구요
  • profile
    작성자님이 말하시는 JS는 프론트단이기에 사실 보안을 비교한다는게 의미가 없을거고요..
    파일 업로드도 사실 백엔드 검증을 거치는지 확인해봐야 알죠.