XSS는 웹 애플리케이션에 가장 많이 나타나는 취약점중 하나
포브스(Forbs)닷컴 사이트에 멀티XSS 취약점이 발견됐다. 그루지아 해커 longrifle0x가 미국 유명 비즈니스 잡지사 포브스 공식 웹사이트에서 두개의 크로스 사이트 스크립팅(XSS) 취약점이 존재한다고 밝혔다.XSS 취약점은 XSS)은 웹 애플리케이션에서 많이 나타나는 취약점의 하나로, 웹사이트 관리자가 아닌 공격자가 웹 페이지에 클라이언트 사이드 스크립트를 삽입해 다른 사용자가 이를 실행하게끔 허용하는 취약점이다.
여러 사용자가 공유해 이용하는 전자 게시판 형태의 웹 애플리케이션이 사이트 간 스크립팅 취약점을 가질 경우 특히 공격 대상이 되기 쉽다.
이 취약점은 사용자로부터 입력 받은 값을 웹 애플리케이션이 검사하지 않고 그대로 사용할 경우 나타난다. 주로 사용자의 정보(쿠키, 세션 등)를 탈취거나, 사용자가 의도하지 않은 기능을 자동으로 실행하기 위해 사용되며, 특수 문자나 예약어, 스크립트를 나타내는 ', " , > , < , % , $ 등의 문자를 이용한다.
또 공격 대상 웹사이트에 삽입한 스크립트를 이용해 다른 웹사이트로 접근하는 것도 가능하기 때문에 사이트 간 스크립팅이라고도 부른다.
아래는 문제의 사이트 페이지 링크이다.
-포브스 첫번째 취약점 링크
search.forbes.com/search/
-두번째 취약점 링크
search.forbes.com/search/colArchiveSearch
[데일리시큐=길민권 기자]
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지