위가 정상적일 때 사례임
이벤트에 대한 배너 정보를 주고, 사진이랑 링크를 같이 전달함
링크를 클릭했을 때 몰루 서버에다가 요청을 하게 됨
그리고 이게 지금 상황임
공격자가 몰루 서버를 해킹해서 이벤트 배너 정보를 임의로 바꿔버렸는데, 그게 "코유키 서버" 로 가게끔 되어 있는거임
몰루에서 가끔씩 이벤트 웹 뷰 같은거 열 때 보면 클릭했을 때 바로 계정이랑 연동이 됨
이건 인게임 내에서 버튼을 클릭했을 때 사용자 계정 세션 정보를 같이 넘겨서 그런거임
그런데 지금은 목적지가 몰루 서버가 아니라 코유키 서버로 가게 됨.
즉, 코유키 서버에 요청을 보냈던 사람들은 IP는 확정적으로 노출됐고(특히 데이터가 아니라 집 와이파이 사용하는 경우는 자기 집 주소 IP가 노출된거임) 상황에 따라서는 사용자 계정 세션까지 노출되었을 수 있음.
이미 배너 이미지를 봤을때 배너 이미지를 요청했기 때문에, 배너를 봤다면 이미 요청이 간거임
다만 이게 왜 가정이냐면, 이벤트 배너 클릭했을 때 웹 이벤트 처럼 사용자 정보가 연동되는걸 못봐서 그럼
만약 이벤트 배너랑 웹 이벤트랑 같은 코드를 사용하는거면 진짜 유출됐을 수 있음
아마 유출됐으면 이번 점검때 로그인 됐던 게임 세션들 전부 날릴듯
1줄 요약
배너 봤거나 클릭했으면 너 IP는 확정적으로 노출됐고, 클라 세션 값도 같이 노출됐을 가능성이 있음
와 시발 나 오늘 블아 하루종일 안킨게 축복이었네
어르신들 피싱당한거 하소연하는거중 "누가보낸 링크 누르니까..." 이걸 블아하는 유저 전체에 시전한거임...
블아 하면서 출석 안 한 게 다행인게 오늘 첨이다 ;;
씁 위험하네
이러려고 학생 얼굴 박아놨나 싶기도하고.. 나도 지금 좀비한테 물린셈이네
XSS 공격을 서버를 해킹해서 하는걸 보게 될줄은 몰랐는데.
덜덜덜...
와 시발 나 오늘 블아 하루종일 안킨게 축복이었네
와 ㅅㅂ 출석 안 해서 다행이다
블아 하면서 출석 안 한 게 다행인게 오늘 첨이다 ;;
음! 조졌구만!
XSS 공격을 서버를 해킹해서 하는걸 보게 될줄은 몰랐는데.
덜덜덜...
원스판이어서 다행이다;
오...쉣.....↗됬네
씁 위험하네
이러려고 학생 얼굴 박아놨나 싶기도하고.. 나도 지금 좀비한테 물린셈이네
어르신들 피싱당한거 하소연하는거중 "누가보낸 링크 누르니까..." 이걸 블아하는 유저 전체에 시전한거임...
ㅇㅇ 맞음
이거 솔직히 넥슨 본사에 보고들어가면 모바일겜 부서들 싹 소집해야함
와... 배너 클릭은 안했는데 보기는 봤는데...
어메 시벌
나 첨엔 걍 버그인 줄 알고
코유키 보겠답시고 일부러부러 갤럭시스토어 판 켰는데!!!
그나마 배너는 안 눌렀다만 불안하네;;;
웹기반 아니야?
세션이 유출되었다는 뜻 : 그거 복붙하면 니 계정으로 접속 가능함
이라는건데...
코유키 이미지로 바로 간건지도 알수 없음
보통은 중간에 몇다리 끼우고 최종 목적지만 멀쩡해도 잘 몰라
저게 진짜면 해킹범은 진짜로 선처 없이 ㅈ된거네
iOS판은 저거 안뜨던데
베너가 아에 날아감