네이버, 일부 악성태그 필터링하고 있지만 좀더 신경 써야!
NHN(대표 김상헌)이 운영하는 포털 네이버의 안부게시판에 XSS 취약점이 발견됐다. XSS 취약점은 웹 애플리케이션에서 주로 발생하는 취약점으로 웹사이트 관리자가 아닌 자가 웹 페이지에 악성 스크립트를 삽입할 수 있는 취약점이다. 이 취약점을 악용하면 악의적 해커는 쿠키와 세션 등 사용자 정보를 탈취하거나 자동으로 비정상적인 기능을 수행하게 할 수 있는 취약점으로 주의를 기울여야 한다.<실제 네이버 안부게시판 XSS 취약점 인증샷>
이번 취약점을 발견해 데일리시큐에 제보한 TEAM@UNSEC팀 김수헌군은 “몇 달 전에 발견한 취약점인데 여전히 취약한 채로 있어서 제보를 하게 됐다”며 “네이버 안부게시판의 사진올리기를 사용해 사진을 업로드 한 후 구글 크롬의 요소검사로 악성태그를 추가해 안부글을 올리면 안부글에 악성태그가 그대로 적용되는 취약점이다. 일부 악성태그는 네이버에서 필터링을 하고 있다”고 설명했다.
또 그는 “어떤 태그를 입력하면 공격자의 홈페이지가 그대로 삽입되는 취약점도 존재하고 있다. 공격자 홈페이지에 특정 사이트로 이동하는 태그가 적용돼 있다면 공격자가 의도한 각종 피싱사이트나 악성사이트로 접속을 유도할 수 있는 것이다. 물론 악성코드 감염도 이루어질 수 있다”고 덧붙였다.
네이버측은 안부게시판의 필요한 태그를 제외한 나머지 악성태그들에 대해 좀더 강화된 필터링 처리를 해야 할 것으로 보인다.
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지