킴스큐 1.2.2 버전(+ hotfix_20150827 업데이트)에서 검증되지 않은 리다이렉트 취약점이 발견됐다.
 
해당 취약점을 데일리시큐에 제보한 국제정보보안교육센터(i2sec) 31기 수강생 손민규 군은 “검증되지 않은 리다이렉트 취약점은 게시판에서 HTML 사용을 체크한 후 href 태그를 이용해 공격이 가능하며, 임의의 URL로 이동시켜 사용자 동의 없이 악성코드가 다운되기도 한다”고 설명했다.

 
또 “검증되지 않은 리다이렉트 취약점에 대응하기 위해서는 해당 URL로 이동할 때 어떤 외부 경로로 이동되는지 주의해야 하며 팝업 창을 이용해 동의 없이 다운로드 되지 않도록 해야 한다”며 “또한 웹 애플리케이션에서 특정 파라미터를 통해 리다이렉트될 때 화이트리스트 기반으로 악의적인 사이트로 리다이렉트 되는지 검증하는 과정을 거쳐야 한다”고 덧붙였다.
 
해당 취약점은 현재 사이트의 담당자에게 전달되었으며 보안 패치가 이루어질 예정이다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com