2024-03-28 21:15 (목)
쥬니어네이버에 SQL인젝션 취약점 발견!
상태바
쥬니어네이버에 SQL인젝션 취약점 발견!
  • 길민권
  • 승인 2012.07.05 02:00
이 기사를 공유합니다

TeamTMP 소속 이선엽군, 네이버에 제보해 현재 취약점 패치된 상황
NHN(대표 김상헌)에서 운영하는 쥬니어네이버 동물농장 페이지에 SQL인젝션 취약점이 존재한다는 것이 드러났다. 이 취약점을 발견한 TeamTMP 소속 이선엽(부평고)군은 “얼마전 쥬니어네이버 동물농장에 SQL인젝션 취약점이 존재한다는 것을 발견하고 네이버측에 제보를 해서 현재 취약점 패치가 이루어졌다”고 밝혔다.
 
공격자가 만약 해당 취약점을 악용한다면 서버 내부 스크립트 파일을 보거나 쉘을 얻을 수 있는 상황이었다.

<ad= 인자에 SQL Injection 취약점이 존재>
 
이 군은 대처 방안으로 “브라우저 사용자 입력 값, 대표적으로 GET, POST, COOKIE로 전달되는 값과 세션변수나 헤더 또한 조작이 가능하기 때문에 이를 잘 필터링 해주어야 한다”며 “방화벽은 절대 신뢰해서는 안되며, 개발 당시에 사용자 입력 값을 잘 escape해주어야 한다”고 말했다.
 
현재 해당 페이지는 취약점이 패치된 상태라 안전하다.
 
이선엽 군은 “현재 TeamTMP에 소속되어 주멤버로 활동하고 있으며 리버스 엔지니어링(RCE)과 웹해킹 등을 공부하고 있다. 앞으로는 시스템 해킹을 공부할 예정”이라고 말했다.
 
이 군은 또 중학교 2학년 때 제5회 정보보호올림피아드에서 4등을 차지해 최연소로 은상을 수상했으며 티머니, 교육청방화벽 우회 취약점, 아레오 등 여러 사이트의 취약점을 신고해 패치가 이루어지도록 기업에 도움을 주었다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★

관련기사