2024-03-19 20:30 (화)
우루과이 10대 소년, HTTP 호스트 우회 취약점 신고…구글은 1만달러 보상
상태바
우루과이 10대 소년, HTTP 호스트 우회 취약점 신고…구글은 1만달러 보상
  • hsk 기자
  • 승인 2017.08.15 13:32
이 기사를 공유합니다

구글 연구원들, 해당 취약점이 실제 기밀 데이터에 접근할 수 있다는 것 확인

goo-2.jpg
우루과이의 한 10대 소년이 구글 앱 엔진에 존재하는 취약점을 보고해 큰 점수를 받았다. 고등학생인 Ezequiel Pereira는 Burp를 사용해 구글 앱 엔진에 대한 웹 연결 호스트 헤더를 조작했다. 이 학생의 타깃은 구글 엔지니어 전용 포털인 MOMA의 보호를 받는 웹 페이지였다.

일반적으로 비공개 직원 전용 구글 서비스에 연결하기 위해서는 MOMA를 통해 로그인 해야한다. 그러나 이러한 모든 서비스들이 방문자가 콘텐츠에 접근할 권한이 있는지 완전히 검사하는 것은 아닌 것으로 밝혀졌다. www.appspot.com과 같은 구글의 공개 서비스에 연결하고 HTTP 요청의 호스트 헤더를 yaqs.googleplex.com으로 변경하면, Pereira는 구글의 내부 프로젝트 관리 시스템인 YAQS에 리디렉션되었다. 해당 시스템을 보려면 MOMA 로그인이 필요했지만 ‘구글 기밀’이라고 표시된 YAQS 페이지를 볼 수 있었다.

Pereira는 7월 11일에 구글에 해당 취약점을 신고했고 8월 4일에 패치되어, 1만달러의 보상을 받았다. 이전에 구글에 취약점을 보고해서 수천달러를 보상받았던 Pereira는 해당 보상 금액을 보고 놀랐고, “나는 그것이 단순한 버그인줄 알았고, 이정도로 큰 금액의 보상이 있을 줄 몰랐다”고 말했다. 2년전 Pereira는 샌프란시스코 여행과 캘리포니아 GooglePlex 여행에서 구글의 Code-in 프로그래밍 대회에서 우승했었다.

그는 구글 앱 엔진을 통해 내부 서비스를 파고드는 과정에서 많은 시도를 했다. 그는 “서버가 404 에러를 반환하거나, 일반 구글 계정 대신 구글 직원 계정을 사용했는지 확인하는 것과 같은 보안 조치가 있었기 때문에 대부분의 시도가 실패했다. 그러나 시도한 웹 사이트 중 하나인 yaqs.googleplex.com은 내 사용자 이름을 확인하지 않았다. 해당 홈페이지는 /eng로 리디렉션되었고, 구글 서비스와 인프라에 대한 다른 섹션들로 연결됐다. 그리고 어느 섹션을 방문하던지 나는 ‘구글 기밀’이라는 내용을 읽었다”고 언급했다.

Pereira는 그것을 보았을때 심각한 이슈라고 생각지는 않았지만, 이에 대해 알리기 위해 버그 리포트를 작성했다. 이후 구글로부터 감사 응답을 받았고 한달 후에는 보상금에 대한 메일을 받았다. 구글 연구원들이 해당 취약점이 실제로 기밀 데이터에 접근하는데 사용될 수 있다는 것을 발견한 것으로 보인다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★