국내 유명 중고차 매매사이트에 XSS 취약점이 발견됐다. XSS(크로스사이트스크립팅) 취약점은 웹에서 많이 나타나는 취약점으로 관리자 권한 탈취나 악성코드 삽입 그리고 사용자 개인정보를 유출할 수 있는 위험한 취약점으로 알려져 있어 주의해야 한다.
 
이번 취약점을 발견하고 데일리시큐에 제보한 이지시큐 김상현씨는 “해당 중고차 매매사이트에서 가입후 자기소개글을 입력하던 중 XSS 취약점을 발견하게 됐다”며 “글을 입력하던 도중 특수 문자 필터링이 이루어지지 않는 것이 확인됐다. 해당 홈페이지는 사용자간에 소개글을 볼 수 있기 때문에 소개글에 악성스크립트가 삽입 될 경우 사이트 사용자가 잠재적으로 악성코드에 감염될 가능성이 커 제보하게 됐다”고 설명했다.
 
이어 보안설정 방법에 대해 그는 “게시물에 HTML이나 자바 스크립트에 해당되는 태그 사용을 사전에 제한하고, 사용자가 입력한 값에 대한 필터링 작업이 필요하고 게시물의 본문뿐만 아니라 제목, 댓글, 검색어 입력 창, 그 외 사용자 측에서 넘어오는 값을 신뢰하는 모든 form과 파라미터 값에 대해서 필터링을 수행해야 한다. 또 입력값에 대한 필터링 로직 구현 시 공백 문자를 제거하는 trim, replace 함수를 사용해 반드시 서버 측에서 구현되어야 한다”고 전했다.
 
데일리시큐는 해당 취약점을 관련 기관에 전달해 조치가 이루어질 수 있도록 할 예정이다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com