check 3d gpu
바로가기
메뉴로 이동
본문으로 이동

[제보] EMBED와 OBJECT 태그 사용 사이트, XSS 취약점 주의!

EMBED와 OBJECT 태그 사용 포털 및 대부분 사이트 취약점

길민권 mkgil@dailysecu.com 2013년 07월 23일 화요일
EMBED와 OBJECT 태그를 사용하는 모든 사이트에서 XSS 취약점이 발견돼 주의가 필요하다는 제보가 들어왔다. 
 
데일리시큐에 몇 차례 보안취약점 제보를 한 바 있는 이광룡(레이아세이렌 / 동패고등학교 IS정보보안동아리) 학생은 “EMBED와 OBJECT 태그를 사용하는 모든 사이트에 XSS 취약점이 존재한다”며 “이 취약점은 IE 9, 사파리, 구글크롬, 파이어폭스 등 거의 모든 곳에서 발생한다”고 제보해 왔다.
 
그는 “특히 국내 포털사이트를 비롯해 대부분 모든 사이트에서 EMBED나 OBJECT 태그가 위험하다는 것을 알게 되었다. Allow script가 해결책인줄 알고 있지만 근본적인 제로보드 취약점이기 떄문에 이를 완전히 차단해야만 막을 수 있다”고 덧붙였다.
???
???즉 “예를들면 모 포털사가 이 태그를 막았다. 그런데 서비스 중에서 하나라도 취약하다면, 그 서비스로 연결해서 우회를 할 수 있는 상황”이라며 “??일부 서비스에서 막았다고해도 취약한 서비스에 심고 연결하는 방식으로 우회가 가능하며 포털에서 막았다고 해도 다른 취약한 사이트를 뚫고 포털사이트로 다시 연결하는 방식으로 한다면, 결국 XSS취약점이 발생한다”고 의견을 보내왔다. ???
 
그는 취약점 해결 방법에 대해 “EMBED 태그와 OBJECT 태그를 완전히 차단해야만 한다. 포털뿐만 아니라 모든 사이트에서 허용된다면 작동할 수 있는 취약점이기 떄문”이라고 설명했다.  
 
데일리시큐 길민권 기자 mkgil@dailysecu.com
<저작권자 © 데일리시큐, 무단 전재 및 재배포 금지>
목록