단어 사이에 단어를 넣으면 우회 가능한 것으로 분석…패치필요!
국내 유명 쇼핑몰 템플릿 ‘위즈몰’에 BLIND SQL 삽입 취약점이 발견되어 이용자들의 주의가 요구된다. 해당 취약점에 대해 문제 제기한 부산해킹보안교육센터(i2Sec) 수강생 신현우씨는 “분석해 본 결과, 소스코드에서 preg_replace 함수가 특정 단어만 두 번째 인자 “”으로 바꿔버리는 기능을 한다. 그러므로 ‘ascii’을 ‘aasciiscii’ 식으로 단어 사이에 단어를 넣으면 우회가 가능한 것으로 분석됐다”고 밝혔다.
해당 취약점은 ascii, substr, database 등 이런한 특정 단어 필터링을 우회할 수 있다는 것이다.
보안 대책으로는 reg_replace 함수의 두 번째 인자 값으로 “” 대신 다른 문자를 넣는 방법이다. 즉 특정 단어를 제거해버리는 것이 아니라 다른 문자로 대체해서 보안해야 한다.
이용자들은 해당 사이트(www.shop-wiz.com/board)에서 보안패치를 다운로드 후 적용해 취약점을 악용한 공격에 대비해야 한다.
[데일리시큐=길민권 기자]
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지