전체 기사

재미와 징역형을 부르는 IIS 서버 정찰

재미와 징역형을 부르는 IIS 서버 정찰

IIS 기본 화면과 응답 헤더, SSL 인증서, Google dork, Shodan을 활용해 노출 서버와 숨은 vhost를 찾는 정찰 기법을 다룸. HTTP/1.0 요청과 Host 헤더 브루트포싱은 내부 IP나 Exchange 호스트명 노출로 이어질 수 있어 위험성이 큼.

내 ID만 있으면 FIFA 월드컵 전체에 Rickroll을 틀 수 있었다

내 ID만 있으면 FIFA 월드컵 전체에 Rickroll을 틀 수 있었다

공개된 FIFA Agent Platform 가입만으로 Microsoft Entra 테넌트와 2026 FIFA World Cup 운영용 시스템 일부에 접근 가능한 취약점이 드러남. JWT의 NO_ROLES 상태를 프런트엔드만 검사하고 백엔드에서 역할 검증을 강제하지 않은 것이 원인.

미국, DeepSeek 및 보안 위험으로 분류된 100여 개 기업의 블랙리스트 등재 보류

미국, DeepSeek 및 보안 위험으로 분류된 100여 개 기업의 블랙리스트 등재 모두 보류

미국 정부가 DeepSeek와 CXMT 등 100여 개 중국 기업의 Entity List 등재를 보류 중. 대중 갈등 고조를 피하려는 트럼프 행정부 기조가 배경.

Volkswagen, GrapheneOS 사용자 차단 시작

Volkswagen, GrapheneOS 사용자를 차단하기 시작함

GrapheneOS 사용자들이 Volkswagen 앱에서 로그인 실패와 서버 연결 오류를 겪고 있음. 같은 계정이 stock Android와 iPhone에서는 정상 동작해, 앱이 Play Integrity API 및 기기 무결성 검사를 활용해 차단하는 정황이 드러남.

Rust와 C/C++의 메모리 안전성 CVE는 왜 다르게 집계되는가

Rust와 C/C++의 메모리 안전성 CVE는 왜 다르게 집계되는가

Rust와 C/C++의 CVE 숫자를 단순 비교하면 메모리 안전성 취약점 집계 방식의 차이를 놓치기 쉽다는 지적. C/C++는 API 오용과 UB가 사용자 코드 문제로 처리되는 경우가 많아 통계가 더 적게 잡힐 수 있음.

JWT 사용을 중단하라

JWT 사용을 중단하라

JWT는 로그인 상태 유지용으로 적합하지 않으며, 이 용도에는 일반 쿠키 세션이 더 맞는다는 주장. JWT는 짧은 수명의 토큰 전제를 따르며, 장기 세션과는 목적이 다르다.

연구자들 “Fable 5 논란은 탈옥이 아니라 ‘fix this code’에서 시작됐다”

연구자들 “Fable 5 논란은 탈옥이 아니라 ‘fix this code’에서 시작됐다”

Anthropic의 Fable 5, Mythos 5 접근 제한은 알려진 탈옥이 아니라 취약 코드에 입력한 “fix this code” 요청에서 비롯됐다는 주장이 제기됨. 가드레일 우회 경위와 보안 대응 방식이 논란이 됨.

GrapheneOS가 Android 17로 포팅됨

GrapheneOS가 Android 17로 포팅됨

GrapheneOS가 Android 17 공식 출시 일정에 맞춰 포팅을 완료했고, 공개 저장소에 코드를 푸시한 뒤 릴리스를 준비 중임. Android 16 QPR2 최종 빌드와 Android 17 초기 릴리스·공개 테스트도 순차 진행될 예정임.

curl의 행복한 여름

curl 행복의 여름

curl 프로젝트가 2026년 7월 한 달간 취약점 접수와 처리를 중단함. 유지관리자 휴식을 위해 HackerOne 제출 창구와 보안 이메일 접수를 잠시 닫음.

LinkedIn 채용 제안에 숨겨진 백도어

LinkedIn 채용 제안에 숨겨진 백도어

LinkedIn 메시지를 통한 리크루터 접근을 이용해 공개 GitHub 저장소 리뷰를 유도한 소셜 엔지니어링 공격 사례. 테스트 스위트로 위장한 코드에 백도어가 숨겨져 있었다.