check 3d gpu
바로가기
메뉴로 이동
본문으로 이동

인터넷서점, 타인 아이디에 접속 가능한 취약점 발견

유저 정보, 세션이 아닌 쿠키로 저장하면서 보안 문제 발생

길민권 mkgil@dailysecu.com 2013년 11월 29일 금요일
국내 인터넷서점 사이트에 로그인 한 후, 유저 정보를 세션이 아닌 쿠키를 통해 저장하면서 발생할 수 있는 보안취약점이 발견됐다. 사이트 관리자의 보안조치가 필요한 상황이다.
 
해당 취약점을 발견하고 데일리시큐에 상세한 내용을 제보한 한충우, 김태훈(소속 UNIST HeXA, CodeRed) 씨는 “해당 사이트는 유저 정보를 세션대신 쿠키에 저장하여 단순한 쿠키조작으로 다른 사람의 아이디에 접속하지 못하도록 보안 조치를 해야 하는 상황”이라고 밝히고 상세 취약점에 대해서는 악용의 소지가 있어 기사내용에는 공개하지 말아달라고 당부했다.
 
제보자는 “현재 상태로 방치한다면, 악의적 해커가 다른 사용자 아이디에 접속해 전화번호, 주소, 주문내역 등을 볼 수 있으며 그 사용자가 올린 글이나 댓글을 삭제할 수 있다. 또 추천인이 필요한 이벤트 등에서 다른 사람의 아이디로 접속해 추천수를 조작할 수도 있는 상황”이라며 “그 외에도 시도는 해보지 않았지만 2차 인증이 필요한 것들을 제외하고는 모두 가능할 것”이라고 예상했다.
 
해당 사이트는 현재 취약성에 대해 조치를 취하고 있는 중이다. 
 
데일리시큐 길민권 기자 mkgil@dailysecu.com

<저작권자 © 데일리시큐, 무단 전재 및 재배포 금지>
목록