VeraPort: perangkat lunak manajemen aplikasi Korea yang tidak berfungsi dengan semestinya

Terjemahan bahasa Korea: https://github.com/alanleedev/KoreaSecurityApps/…

Daftar isi

• Ringkasan temuan
• Cara situs web bank mendistribusikan aplikasi
• Cara kerja Wizvera VeraPort
• Perlindungan dari kebijakan berbahaya
• Celah dalam keamanan
  • Kurangnya perlindungan data saat transmisi
  • allowedDomains yang disetel terlalu luas
  • Siapa yang memegang kunci penandatanganan?
  • Otoritas sertifikasi
• Eksploit yang menggabungkan celah-celah tersebut
  • Menggunakan file kebijakan yang sudah ada dari situs web berbahaya
  • Menjalankan biner berbahaya
  • Menghapus petunjuk visual
• Kebocoran informasi: aplikasi lokal
• Kerentanan server web
  • Pemisahan respons HTTP (Response Splitting)
  • XSS persisten melalui service worker
• Melaporkan masalah
• Apa yang telah diperbaiki
• Masalah yang masih tersisa

Ini adalah tulisan terakhir (untuk sementara?) dalam seri tentang aplikasi keamanan Korea.
Berbeda dengan aplikasi sebelumnya, tampaknya banyak masalah yang ditemukan sudah diperbaiki sebelum tulisan ini dipublikasikan.
Namun, masih ada juga masalah struktural yang tetap tersisa.