check 3d gpu
바로가기
메뉴로 이동
본문으로 이동

제로보드 Xpress Engine, XSS 취약점 발견!

웜, 바이러스 배포, 세션 하이재킹 공격, 피싱 공격 등 2, 3차 피해 가능해

길민권 mkgil@dailysecu.com 2012년 05월 08일 화요일
국내 PHP 기반 공개 웹 어플리케이션인 Xpress Engine(이하 XE)에서 XSS취약점이 발견되어 해당 웹 어플리케이션 사용자들에게 주의가 요구된다.
 
이번 취약점을 발표한 국제정보보안교육센터(i2Sec) 하동민씨는 “발견된 취약점은 XSS(Cross Site Scripting)로써 악의적인 스크립트를 삽입해 정상적인 액션이 아닌 부정적인 액션이 일어나는 공격으로서 그에 따라 웜, 바이러스 배포, 세션 하이재킹 공격, CSRF 공격, 피싱 공격으로 2, 3차 피해까지 이어 질 수 있다”고 설명했다.
 
내용을 좀더 자세히 살펴보면 다음과 같다.

 
게시물에 “<script>alert(“i2sec_Hadongmin_testing”)</script>”를 BASE64 방식으로 Encoding한 후 HTML의 <object>태그를 이용해 스크립트를 삽입한다.


 
iexplore에서는 스크립트가 실행되지 않았지만 그 외에 인지도 높은 크롬, 오페라, 파이어폭스에서는 스크립트가 실행이 되었다.

 
그에 따라 크롬, 오페라, 파이어폭스 사용자들을 대상으로 웜, 바이러스 배포, 세션 하이재킹 공격, CSRF 공격, 피싱 공격으로 2, 3차 피해까지 이어 질 수 있다는 것이다.
 
이에 대한 취약점이 발견된 버전은 1.5.2.2로 취약점에 대한 보고서를 전달받은 XE측은 취약점에 대한 패치를 수행하였고 최신 버전 1.5.2.3을 배포 중이다.
 
i2Sec 하동민씨는 “국내 유명 Web Application들 대부분이 <object>태그에 대해 취약한 것 같다. Web Application 관리자들은 최신 공격 기법들에 대한 경각심을 높여 그에 대한 보안 대책들을 마련하는 것이 필요하다”고 강조했다.
 
<참고사이트>
-www.xpressengine.com/blog/textyle/20771154
<패치>
-www.xpressengine.com/index.php
[데일리시큐=길민권 기자]
<저작권자 © 데일리시큐, 무단 전재 및 재배포 금지>
태그 취약점
목록