교육청 자가진단 웹페이지 분석 (9월 말 경 업데이트[점검] 이후)
9월 말 점검 이후 RSA key가 그대로길래 오류 수정한 줄 알았는데 API 관련하여 꽤 수정이 있었던 것 같습니다. 다시 분석하는겸 분석 과정도 적어보겠습니다. 학교 검색 API 기존에는 /school을 사용했는데 현재는 /v2/searchSchool로 변경된 것을 볼 수 있습니다. 파라미터 부분은 변한 것이 없는 것을 볼 수 있습니다. eduro-hcs/PoC[school.js]: 기존 코드 로그인 API (학교, 이름, 생년월일) 기존 로그인 API는 loginwithschool 이였는데 /v2/findUser로 변경되었습니다. 여전히 Host는 {교육청}hcs.eduro.go.kr 입니다. 볼 수 있듯이 생년월일과 이름은 여전히 암호화되어있고, orgCode(학교 코드)는 평문 전송입니다. 점검..
2020.10.04