check 3d gpu
바로가기
메뉴로 이동
본문으로 이동

쇼핑몰 템플릿 위즈몰, BLIND SQL인젝션 취약점 발견!

단어 사이에 단어를 넣으면 우회 가능한 것으로 분석…패치필요!

길민권 mkgil@dailysecu.com 2012년 01월 09일 월요일
국내 유명 쇼핑몰 템플릿 ‘위즈몰’에 BLIND SQL 삽입 취약점이 발견되어 이용자들의 주의가 요구된다. 
 
해당 취약점에 대해 문제 제기한 부산해킹보안교육센터(i2Sec) 수강생 신현우씨는 “분석해 본 결과, 소스코드에서 preg_replace 함수가 특정 단어만 두 번째 인자 “”으로 바꿔버리는 기능을 한다. 그러므로 ‘ascii’을 ‘aasciiscii’ 식으로 단어 사이에 단어를 넣으면 우회가 가능한 것으로 분석됐다”고 밝혔다.


 
 
해당 취약점은 ascii, substr, database 등 이런한 특정 단어 필터링을 우회할 수 있다는 것이다.
 
보안 대책으로는 reg_replace 함수의 두 번째 인자 값으로 “” 대신 다른 문자를 넣는 방법이다. 즉 특정 단어를 제거해버리는 것이 아니라 다른 문자로 대체해서 보안해야 한다.


 
이용자들은 해당 사이트(www.shop-wiz.com/board)에서 보안패치를 다운로드 후 적용해 취약점을 악용한 공격에 대비해야 한다.
[데일리시큐=길민권 기자]
<저작권자 © 데일리시큐, 무단 전재 및 재배포 금지>
목록