“권한 탈취나 악성코드 삽입 그리고 사용자 개인정보 유출 위험”
국가 기반시설 가운데 한 곳인 XXXX공사 홈페이지내 공개채용 Q&A 게시판에 XSS 취약점이 발견됐다. XSS(크로스사이트스크립팅) 공격은 웹에서 많이 나타나는 취약점으로 관리자 권한 탈취나 악성코드 삽입 그리고 사용자 개인정보를 유출할 수 있는 위험한 취약점으로 알려져 있다.이번 취약점을 발견하고 데일리시큐에 제보한 조성준 제보자는 “XSS 취약점은 사이트 개발자가 의도하지는 않았지만 비정상적인 사용자가 서비스에 자바스크립트를 삽입할 수 있게 되면서 발생하는 취약점”이라며 “해당 사이트 공개채용 Q&A 게시판에서 발생하며 게시글 제목 부분에 자바스크립트를 삽입할 수 있다. XSS에 대한 필터링이 전혀 적용되지 않는 것으로 추정되는데 악의적인 사용자가 악용한다면 악성코드 유포, 개인정보 탈취 등으로 이어질 수 있어 신속한 보안조치가 필요한 상황이다”라고 말했다.
그는 “채용과 관련하여 문의할 일이 있어 글을 남길 일이 있었는데 특수문자를 사용했을 때 뭔가 이상한 점을 발견했고 테스트 해보면서 우연히 취약점을 발견하게 되었다”며 “데이터를 DB에 저장할 때, 특수문자를 HTML Entity로 치환해 저장한다면 XSS 취약점에 대응할 수 있을 것”이라고 조언했다.
데일리시큐는 해당 취약점을 관련 기관에 전달해 보안조치가 이루어질 수 있도록 할 예정이다.
★정보보안 대표 미디어 데일리시큐!★
<데일리시큐 길민권 기자> mkgil@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지