영카트(YOUNGCART) 5.0.43 및 5.1.b1 버전에서 XSS 취약점 및 세션관리 취약점이 발견됐다.
 
해당 취약점을 발견하고 관리자에게 전달한 국제정보보안교육센터(i2sec) 27기 수강생 안홍기 군은 “영카트 사용자가 물건을 구매 후 취소할 때 스크립트를 삽입해 XSS 공격이 가능하다. 이 취약점으로 인해 쿠키 탈취 및 악성코드 다운로드, CSRF 공격에 이용될 수 있으며, 쇼핑몰 홈페이지인 만큼 관리자 권한이 넘어갈 경우 금전적인 손실이 발생할 수 있어 주의해야 한다”고 설명했다.

 
또 다른 취약점으로 세션관리 취약점이 발견되었다. 그는 “이 취약점의 경우 기본적으로 로그인되지 않은 상태에서 주문내역 URL을 입력할 경우 접속이 차단되지만 로그인한 상태에서 타인의 주문번호를 넣어 URL을 요청할 경우 차단되지 않아 타 구매자의 개인 정보확인이 가능하다”고 말했다.

 
이번 XSS취약점의 경우 HTML 화이트리스트 방식으로 공격성이 짙은 해당 태그를 필터링 해야 한다. 사용자들은 보안 패치를 항상 최신 버전으로 업데이트를 하는 것이 중요하다. 또한 세션관리 취약점의 경우 세션 값과 구매자 정보를 비교 즉 접근 권한을 확인해야 하며, 주문번호를 주문시간이 아닌 좀더 복잡한 조건으로 생성한다.
 
해당 취약점들은 현재 담당자에게 전달됐으며 관련 보안 패치가 이루어진 상태다. 이용자들의 최신버전 업데이트가 중요하다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com