이동 삭제 역사 ACL 나무위키 XSS 공격 사건 (r1 문단 편집) [오류!] 편집기 RAW 편집 미리보기 굵게기울임취소선링크파일각주틀 == 원인 == 나무위키는 '_cfuid', '[[코사카 호노카|honoka]]', '[[미나미 코토리|kotori]]' 의 세가지 종류의 쿠키를 사용하고 있다. 이 중 'honoka' 와 'kotori' 쿠키는 로그인에 사용되는 것으로 이 쿠키를 탈취할 경우 쿠키 주인의 "로그인된 상태"를 탈취하게 되어 비밀번호를 모르더라도 탈취된 쿠키를 적용하여 다른 사람으로 로그인된 상태가 된다. 사이트 납치도 앞에서 서술한 XSS 취약점을 이용하였다. 최고관리자 derCSyong이 제시한 대처 방법은 다음과 같다. >파악 끝났습니다.honoka 쿠키 또는 kotori 쿠키를 가져다 쓰는 것처럼 보이는데. >1. 쿠키만 가져가는 것은 '비밀번호'가 탈취된 것은 아닙니다. >2. (중요) 로그인된 것으로 인식하기 때문에 내정보에서 '''이메일 변경[* 또한 비밀번호도 변경이 가능하다.]'''이 가능하고, 이렇게 되면 계정을 되찾을 방법이 사라집니다. >3. honoka 또는 kotori 쿠키가 노출될 경우 "즉시 로그아웃하여" 쿠키를 무효화시켜야 합니다. im preview 요약 문서 편집을 저장함으로써, 사용자는 본인이 기여한 콘텐츠가 CC BY-NC-SA 2.0 KR에 따라 배포되며, 해당 콘텐츠에 대한 저작자 표시를 하이퍼링크나 URL로 대체할 수 있다는 점에 동의합니다. 또한, 이 동의는 기여한 콘텐츠가 저장되고 배포된 이후에는 철회할 수 없음을 명확히 이해하고 동의합니다. 비로그인 상태로 편집합니다. 로그인하지 않은 상태로 문서 편집을 저장하면, 편집 역사에 본인이 사용하는 IP(66.249.72.69) 주소 전체가 영구히 기록됩니다. 저장