Hacking Google for fun and profit - andrew makes things
Source
Evernote/Technote scraps/Hacking Google for fun and profit - andrew makes things.md
Summary
저자 Andrew Cantino는 2011년 Google Vulnerability Reward Program에 참여하여 Gmail의 세 가지 보안 취약점을 발견하고 보상 및 명예의 전당에 등재된 경험을 공유합니다. 발견된 취약점은 모두 CSRF(Cross-Site Request Forgery) 및 Clickjacking 기법을 악용한 것으로, 1) 프로필 이미지 로딩 응답 코드를 통해 특정 사용자와의 이메일 통신 여부를 추론하는 프라이버시 침해, 2) Google Docs iframe을 이용한 클릭재킹으로 현재 문서 편집자 목록에서 사용자의 Gmail 계정 식별, 3) HTML 버전 Gmail의 필터 생성 과정에서 CSRF 토큰 누락으로 인해 모든 수신 메일 삭제 필터를 강제로 생성하는 공격 등이 포함됩니다. 저자는 각 취약점의 작동 원리와 Google의 패치 방향(CSRF 토큰, X-Frame-Options 등)을 설명합니다.
Key Points
- Google Vulnerability Reward Program을 통해 Gmail의 3가지 보안/프라이버시 취약점 발견 및 보상 수령
- 취약점 1: Gmail 프로필 이미지 로딩 시 HTTP 응답 코드를 분석하여 사용자가 특정 계정과 이메일을 주고받았는지 여부를 추론 가능 (CSRF 기반 프라이버시 침해)
- 취약점 2: Google Docs iframe을 클릭재킹(Clickjacking)하여 사용자의 입력을 유도하고, 공개된 문서 편집자 목록을 통해 사용자의 Gmail 계정 식별
- 취약점 3: HTML 버전 Gmail의 필터 생성 초기 단계에서 CSRF 토큰 누락으로 인해 악의적인 사이트가 사용자의 모든 수신 메일을 삭제하는 필터를 강제로 생성 가능
- 대응 방안: CSRF 토큰 적용, X-Frame-Options/X-XSS-Protection 헤더 설정, 프레임 버스팅(frame busting) 기술 활용 등