2024-03-29 18:50 (금)
파이어폭스에서 네이버 메일 XSS 취약점 발견!
상태바
파이어폭스에서 네이버 메일 XSS 취약점 발견!
  • 길민권
  • 승인 2012.06.11 18:56
이 기사를 공유합니다

SVG 이용해 인코딩한 XSS 취약점 막지 못하는 것 확인!
네이버 메일에서 SVG를 이용해 인코딩한 XSS(크로스사이트 스크립팅) 취약점을 막지 못하는 것이 확인됐다. 비록 플래시가 설치되어 있어야 하기 때문에 IE에서 작동하지 않지만 파이어폭스에서 이 취약점으로 인한 권한상승을 얻을 수 있어 위험한 취약점이다.
 

<파이어폭스 브라우저에서 네이버 메일의 XSS 취약점 확인 인증샷>
 
이 취약점을 발견한 부일외고 1학년 이준오 학생은 “HTML5에 적용되는 SVG를 이용하여 XSS를 인코딩 한 것이다. 네이버 보다는 파이어폭스 브라우저를 공략한 취약점”이라며 “SVG 포맷의 경우 확장된 브라우저 호환성을 위해 플래시 형태로 사용된다. 그러므로 플래시 플러그인을 쓰는 파이어폭스가 대상이 된다고 볼 수 있다”고 설명했다.
 
또 “이 XSS취약점으로는 대표적으로 쿠키하이제킹 등등이 가능하다”며 “네이버 측은 HTML로 글을 작성할 때 좀 더 사용자들의 입력을 제한할 필요가 있다”고 말했다.

SVG(Scalable Vector Graphics)는 2차원 벡터 그래픽을 표현하기 위한 XML기반의 파일 형식으로, 1999년 W3C(World Wide Web Consortium)의 주도하에 개발된 오픈 표준의 벡터 그래픽 파일 형식이다. SVG 형식의 이미지와 그 작동은 XML 텍스트 파일들로 정의되어 검색화·목록화·스크립트화가 가능하며 필요하다면 압축도 가능하다.
 
일명 XSS로 불리는 크로스 사이트 스크립팅(cross-site scripting)은 웹 애플리케이션에서 많이 나타나는 취약점의 하나로 웹사이트 관리자가 아닌 이가 웹 페이지에 악성 스크립트를 삽입할 수 있는 취약점이다. 주로 여러 사용자가 보게 되는 전자 게시판에 악성 스크립트가 담긴 글을 올리는 형태로 이루어진다.
 
이 취약점은 웹 애플리케이션이 사용자로부터 입력 받은 값을 제대로 검사하지 않고 사용할 경우 나타난다. 이 취약점으로 해커가 쿠키나 세션 등 사용자의 정보를 탈취하거나, 자동으로 비정상적인 기능을 수행하게 할 수 있다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com
 
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★