2024-03-29 13:35 (금)
제로보드 Xpress Engine, XSS 취약점 발견!
상태바
제로보드 Xpress Engine, XSS 취약점 발견!
  • 길민권
  • 승인 2012.05.08 04:49
이 기사를 공유합니다

웜, 바이러스 배포, 세션 하이재킹 공격, 피싱 공격 등 2, 3차 피해 가능해
국내 PHP 기반 공개 웹 어플리케이션인 Xpress Engine(이하 XE)에서 XSS취약점이 발견되어 해당 웹 어플리케이션 사용자들에게 주의가 요구된다.
 
이번 취약점을 발표한 국제정보보안교육센터(i2Sec) 하동민씨는 “발견된 취약점은 XSS(Cross Site Scripting)로써 악의적인 스크립트를 삽입해 정상적인 액션이 아닌 부정적인 액션이 일어나는 공격으로서 그에 따라 웜, 바이러스 배포, 세션 하이재킹 공격, CSRF 공격, 피싱 공격으로 2, 3차 피해까지 이어 질 수 있다”고 설명했다.
 
내용을 좀더 자세히 살펴보면 다음과 같다.

 
게시물에 “<script>alert(“i2sec_Hadongmin_testing”)</script>”를 BASE64 방식으로 Encoding한 후 HTML의 <object>태그를 이용해 스크립트를 삽입한다.


 
iexplore에서는 스크립트가 실행되지 않았지만 그 외에 인지도 높은 크롬, 오페라, 파이어폭스에서는 스크립트가 실행이 되었다.

 
그에 따라 크롬, 오페라, 파이어폭스 사용자들을 대상으로 웜, 바이러스 배포, 세션 하이재킹 공격, CSRF 공격, 피싱 공격으로 2, 3차 피해까지 이어 질 수 있다는 것이다.
 
이에 대한 취약점이 발견된 버전은 1.5.2.2로 취약점에 대한 보고서를 전달받은 XE측은 취약점에 대한 패치를 수행하였고 최신 버전 1.5.2.3을 배포 중이다.
 
i2Sec 하동민씨는 “국내 유명 Web Application들 대부분이 <object>태그에 대해 취약한 것 같다. Web Application 관리자들은 최신 공격 기법들에 대한 경각심을 높여 그에 대한 보안 대책들을 마련하는 것이 필요하다”고 강조했다.
 
<참고사이트>
-www.xpressengine.com/blog/textyle/20771154
<패치>
-www.xpressengine.com/index.php
[데일리시큐=길민권 기자]
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★