토론토 대학교 해커톤: 우연히 발견된 취약점
2025-03-20
토론토 대학교 학생이 GenAI Genesis 2025 해커톤 등록 중 우연히 취약점을 발견했습니다. 비밀번호를 재설정한 후(비밀번호 관리자가 비밀번호를 저장하지 못했기 때문에) 재설정 링크가 Firebase 앱을 가리키는 것을 알았습니다. 호기심에 일반적인 Firebase 취약점 악용 기법을 시도해 보았습니다. 그 결과 웹사이트가 애플리케이션 상태를 업데이트할 때 필요한 필드뿐 아니라 전체 애플리케이션 객체를 작성하는 것을 발견했습니다. 이 취약점을 악용하여 자신의 지원 상태를 성공적으로 '승인됨'으로 변경했습니다. 또한 검토 결과, 검토자 정보, 의견 등의 민감한 정보가 유출되는 취약점도 발견했습니다. 이 취약점은 수정되었습니다.
개발