Kant's Times

구글 오오스가 가진 근본 취약점, 구글은 아직 해결하지 못해 구글 오오스가 가진 근본 취약점, 구글은 아직 해결하지 못해이제는 ‘구글 계정으로 로그인’(Sign in with Google)을 못 본 사람은 드물 것이다. 구글만이 아니라 애플과 페이스북, 네이버에 계정이 있는 사람이라면 비슷하게 로그인을 할 수 있다. 편리하면서www.boannews.com 구글 OAuth 인증의 구조적 문제‘구글 계정으로 로그인’(Sign in with Google) 기능에서 보안 취약점 발견망한 회사의 도메인을 구매하면 해당 도메인으로 SaaS 서비스 접근 가능구글이 현재까지 해결하지 못한 근본적인 보안 문제취약점의 원인과 동작 방식공격자는 폐업한 기업의 도메인을 구매하여 해당 도메인을 이용한 이메일 계정을 재구성 가능..

New Star Blizzard spear-phishing campaign targets WhatsApp accounts | Microsoft Security Blog 개요러시아 기반 위협 그룹 Star Blizzard가 WhatsApp을 활용한 새로운 스피어 피싱 공격 전개기존 이메일 피싱 기법에서 벗어나 새로운 접근 방식으로 계정 탈취 시도주요 공격 대상: 정부 및 외교 관계자, 국방 정책 연구자, 우크라이나 지원 단체 관계자미국 법무부 및 Microsoft의 조치 이후 공격 전략 변화공격 방식이메일을 통해 타겟에게 접촉하여 WhatsApp 그룹 초대 링크 제공첫 번째 이메일: QR 코드 포함(의도적으로 깨진 코드) → 타겟이 문의하도록 유도두 번째 이메일: 정상적인 WhatsApp 그룹 초대 링크인..

The $10 Cyber Threat Responsible for the Biggest Breaches of 2024 도난된 자격 증명: 주요 사이버 위협도난된 자격 증명은 2023/24년 동안 웹 애플리케이션 공격의 80%를 차지공격자들이 사이버 범죄 포럼에서 자격 증명을 단 $10에 구매 가능Snowflake, Change Healthcare, Disney, Microsoft 등 대규모 기업들이 피해를 입은 주요 사건 발생주요 사례Snowflake 공격: 165개 조직의 자격 증명이 탈취되어 수백만 명의 민감 데이터 유출Change Healthcare: 1억 명 이상 고객 데이터 유출, 2200만 달러 랜섬 요구Disney: Slack 및 Confluence 서버 해킹으로 IT 인프라와 민감 데이터 ..

New "DoubleClickjacking" Exploit Bypasses Clickjacking Protections on Major Websites 더블클릭재킹 개요더블클릭재킹은 시간 기반 취약점으로, 주요 웹사이트에서 더블 클릭 시퀀스를 악용하는 새로운 유형의 공격기존 클릭재킹보다 발전된 방식으로, X-Frame-Options, SameSite 쿠키, 콘텐츠 보안 정책(CSP) 같은 방어 기술을 우회계정 탈취 또는 민감한 작업 실행을 최소한의 사용자 상호작용으로 가능하게 함공격 메커니즘공격의 단계사용자가 공격자가 제어하는 웹사이트에 접속, 새 브라우저 창 또는 탭이 자동으로 열림새 창은 CAPTCHA 확인처럼 무해한 UI를 가장하고, 사용자가 더블 클릭하도록 유도더블 클릭 도중 JavaScript ..