Kant's Times

Google OAuth Vulnerability Exposes Millions via Failed Startup Domains 취약점 개요Google OAuth 인증 흐름의 설계 결함으로 인해 폐업한 스타트업의 도메인을 구매한 공격자가 해당 도메인과 연관된 계정을 악용해 SaaS 서비스에 접근 가능Google OAuth가 인증 과정에서 이메일과 호스팅 도메인 정보를 사용하나, 이 방식이 도메인 소유권 변경에 따른 악용 가능성을 내포공격자는 Slack, Notion, OpenAI ChatGPT, Zoom, HR 시스템 등 다양한 서비스에서 민감한 데이터를 탈취할 수 있음영향HR 시스템: 세금 문서, 급여 명세서, 보험 정보, 사회보장번호(Social Security Number)인터뷰 플랫폼: 후보자 피드..

New "DoubleClickjacking" Exploit Bypasses Clickjacking Protections on Major Websites 더블클릭재킹 개요더블클릭재킹은 시간 기반 취약점으로, 주요 웹사이트에서 더블 클릭 시퀀스를 악용하는 새로운 유형의 공격기존 클릭재킹보다 발전된 방식으로, X-Frame-Options, SameSite 쿠키, 콘텐츠 보안 정책(CSP) 같은 방어 기술을 우회계정 탈취 또는 민감한 작업 실행을 최소한의 사용자 상호작용으로 가능하게 함공격 메커니즘공격의 단계사용자가 공격자가 제어하는 웹사이트에 접속, 새 브라우저 창 또는 탭이 자동으로 열림새 창은 CAPTCHA 확인처럼 무해한 UI를 가장하고, 사용자가 더블 클릭하도록 유도더블 클릭 도중 JavaScript ..