2024-03-28 18:25 (목)
대형 포털사 클라우드 서비스에서 XSS 취약점 발견돼
상태바
대형 포털사 클라우드 서비스에서 XSS 취약점 발견돼
  • 길민권 기자
  • 승인 2017.03.31 22:55
이 기사를 공유합니다

encryption-9.jpg
국내 대형포털사에서 제공하는 클라우드 서비스의 보내기 기능은 클라우드에서 파일을 선택한 뒤 메일, 블로그, 카페 중 한 가지를 선택하면 클라우드에서 선택한 파일이 자동으로 첨부되어 파일 첨부를 편하게 해주는 기능이다. 이 기능에 XSS 취약점이 발견됐다. 해당 취약점은 이미 포털사에 전달된 상태다. 신속한 조치가 필요하다.

해당 취약점을 발견한 선린인터넷고등학교 Layer7, CTF팀 Slipper 소속 문시우 학생은 “메일, 블로그, 카페 중 선택을 했을 때 여러 페이지를 거쳐서 작성 페이지로 넘어가는데 여기서 cloud.XXXXX.com/forwardEuckr.XXX 페이지에서 Reflected XSS 취약점이 발생한다”며 “여기에 파라미터로 ‘12345’를 주었을 때 페이지에서 파라미터를 그대로 자바스크립트에 대입해 코드를 실행하고 있다”고 설명했다.

이때 파라미터에 해커가 임의로 스크립트를 삽입한다면 해당 스크립트가 실행되면서 Reflected XSS 취약점이 발생하는 것이다.

만약 해커가 악의적인 목적을 가지고 스크립트를 삽입한다면 유저들에게 피해를 줄 수 있다. 스크립트가 삽입됐을 때 코드가 동작해 해커가 원하는 스크립트를 실행할 수 있게 되는 취약점이다.

해당 취약점을 패치하는 방법에 대해서는, 파라미터의 값을 바로 자바스크립트로 넘겨받지 말고 적절한 인코딩과 필터링 같은 검증을 거친 뒤에 사용해야 한다고 밝히고 가능하면 파라미터의 값을 페이지에 표시하는 것을 줄이는 것이 좋다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★