server-side scripting

Due to a security vulnerability in the western region, millions of vehicles could be tracked, unlocked, and operated.

서부보로의 보안 취약성으로 몇백만 대의 차량이 원격으로 제어 가능하다는 사실을 알게 되었습니다. 샘 카리우는 그의 엄마와 계약을 맺고, 이를 이용해 MySubaru 모바일 앱의 결함을 찾아보았으나 실패했습니다. 그러나 공용 애플리케이션에 대한 권한을 가진 직원 전면 애플리케이션이 있다는 것을 알게 되었습니다. 친구의 도움으로 잠재적으로 좋은 서브 도메인을 찾고, 불안전한 비밀번호 재설정 코드를 찾아냈습니다. 이를 통해 유효한 직원 이메일 주소를 얻고 로그인할 수 있었습니다. 2FA 보호도 클라이언트 측에서 제거할 수 있어 쉽게 패스되었습니다. "마지막 알려진 위치" 기능을 사용하여 엄마의 차량을 원격으로 제어하고, 그녀의 차량 번호를 얻은 후 관리 패널에 추가했습니다. 이제 차량에 문제가 생겼는지 확인해볼 수 있었습니다. [더보기...]