2024-03-30 00:40 (토)
레몬즈 사이트, 파라미터 변조 취약점 발견!
상태바
레몬즈 사이트, 파라미터 변조 취약점 발견!
  • 길민권
  • 승인 2012.08.29 02:38
이 기사를 공유합니다

관리자 계정으로 게시판 조정 가능…웹쉘 업로드도 가능해
레몬즈 사이트에서 파라미터 변조 취약점이 발견되었다. 레몬즈는 학생들이 칭찬받을 행동을 했을 경우 정해진 규정에 따라 학원장이나 강사, 학부모로부터 소액의 레몬즈머니를 받아서 일정금액 이상 모이면 레몬즈 쇼핑몰에서 원하는 선물을 구매할 수 있는 시스템이다. 일종의 사이버머니를 취급하는 곳이라 결제문제와 연결될 수 있기 때문에 관리자는 신속한 보안조치를 취해야 안정적으로 사이트 운영이 가능할 것으로 보인다.
 
해당 취약점을 발견해 데일리시큐에 제보한 청소년 해킹&보안팀 Little Rascal 리더 염세현(경주 월성중학교) 학생은 “레몬즈 사이트에서 파라미터가 변조되는 것을 확인했다. 이렇게 되면 관리자 자격으로 사이트의 공지사항을 수정할 수 있다. 다시말해 공지사항 이외에 여러 게시판 제어가 모두 가능한 상황”이라며 “악의적 공격자가 관리자 자격으로 게시글을 쓸 수 있다는 것은 공격자 입장에서 웹쉘도 업로드할 수 있어 여러가지 공격이 가능하게 된다”고 설명했다.
 
또 염군은 “iframe, XSS 등 기법으로 일반 사용자가 게시물을 볼 경우 악성 사이트로 이동시킬 수도 있기 때문에 관리자로 게시글을 쓸 수 있는 상황은 매우 위험하다. 보안조치를 해야 안전하게 사이트가 운영될 것”이라고 밝혔다.
 
한편 해당 사이트는 파라미터 취약점 이외에도 구글링 취약점도 발견됐다. 염군은 구글링을 방지하기 위해 robots.txt를 추가 시켜야 한다고 덧붙였다.
 
그는 이러한 취약점을 예방하기 위해서는 “파라미터 공격을 막기 위해 게시물 접근시 정당한 권한을 획득한 사용자인지 확인하는 체크 코드를 넣어 주면 된다”고 조언했다.
 
레몬즈 사이트는 안정적인 사이트 운영을 위해서라도 신속한 조치를 취해야 피해를 예방할 수 있을 것이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★