문자열 제대로 필터링 하지 않아 발생하는 취약점
다른 사이트로 리다이렉팅 혹은 악성코드 유포 가능!
NHN(대표 김상헌)이 운영하는 네이버 영화 페이지(movie.naver.com)에서 XSS 취약점이 발견됐다. 이 취약점은 지난 6월 10일 단국대학교 천안캠퍼스 컴퓨터과학과 김진현씨에 의해 발견되었다.다른 사이트로 리다이렉팅 혹은 악성코드 유포 가능!
김 씨는 “네이버 영화 메인 페이지 감상평란에 embed 테그 삽입으로 인한 XSS 취약점이 발견됐고 피싱 사이트인 성인 웹하드, 성인 사이트도 발견됐다”며 “일반적으로 XSS를 방지하는 기법은 해당 문자열을 필터링하는 방법인데 그 부분이 제대로 이루어지지 않았기 때문에 이런 취약점이 생긴 것 같다”고 설명했다.
네이버는 쿠키 하이제킹은 힘들지만 이 취약점으로 다른 사이트로 리다이렉팅 되거나 공격자가 원하는 악성코드를 다운로드 받을 수도 있는 상황이라고 네이버 측의 빠른 조치가 필요하다고 강조했다.
그는 “현재 네이버 측에 두 개의 취약점을 통보했고 답변메일도 받은 상태다. 지금 제보한 취약점은 수정 되었으나 다른 취약점은 아직 수정되지 않은 상태다. 두 번째 취약점도 이와 비슷하게 동작하기 때문에 이 위험을 알리고 싶어서 제보하게 됐다”고 밝혔다.
김진현 씨는 현재 네이버 해킹 보안 카페 Secuholic을 운영하고 있으며 소속은 Highfive ctf team이다.
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지