NHN(대표 김상헌)이 운영하는 제로보드XE(Xpress Engine)에서 XSS 취약점이 발견됐다. 2개의 케이스로 진행된 테스트에서 모두 XSS 취약점이 발견됐다. 이번 취약점은 26일 최진웅씨에 의해 발견됐고 KISA(한국인터넷진흥원)과 데일리시큐에 전달됐다.  
 
최씨는 “embed와 object 활용한 XSS이고 embed의 경우엔 구형 브라우저에서 먹히지 않았다”며 “IE9, Chrome에서 테스트를 완료했다”고 밝혔다. 아래는 테스트 스크린샷이다.

 
케이스1은 embed를 이용해 src에 문서파일 주소로 연결해 iframe과 같이 동작하도록 한 것이다.이때는 구형 브라우저에서는 작동하지 않는 것으로 나타났다.
 
케이스2는 object를 이용해 데이타에 문서파일 주소로 연결하여 iframe과 같이 동작하도록 한 것이다. 굳이 type을 넣을 필요 없이 데이타에 문서파일 주소만 넣어도 된다. 최신 브라우저부터 구형까지 모두 동작하는 것으로 나타났다.
 
취약점 대응방법에 대해 최씨는 “src나 data에 연결된 문서파일의 확장자 검사를 하는 것이 필요하다”고 조언하며 “XE에서 관리자 탈취는 불가능하지만 CSRF, 악성코드 배포 등에 악용될 수 있어 주의가 필요하다”고 말했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com