미니홈피로 유명한 국내 유명 SNS서비스 다이어리 부분에서 XSS(크로스 사이트 스크립팅)취약점이 발견되었다. XSS는 OWASP에서 발표한 10대 취약점 중 하나로 주의를 기울여야 할 취약점 중 하나다.
 
이번 취약점을 발견하고 데일리시큐에 제보한 NST(New Security Technology) 소속 이상명씨는 “이 취약점은 지난해 12월 31일에 발견했다”며 “html을 사용하지 못하도록 막아놓아도 구글 크롬의 요소검사를 사용해 Button태그와 onclick함수를 통해 XSS를 사용해 쿠키를 탈취 할 수 있는 상황이다. 또한 <XXXXXX onclick=alert('XSS')>Click ME</XXXXXX>(특정 코드 X 처리)와 같이 별도의 우회를 하지 않아도 가능하기에 조금만 우회해도 금방 취약점이 발견된다. onclick관련 함수를 필터링 처리 해주어야 한다”고 밝혔다.

 
?이 취약점이 발생하는 원인과 대응방안은 무엇일까. 그는 “게시물 업로드시 onclick태그를 필터링 해주지 않아서 발생하는 취약점”이라며 “글을 업로드하면서 onclick을 필터링 해주거나, onclick을 사용할 일이 별로 없으므로 기능을 제한해야 한다”고 조언했다.
 
이 취약점으로 인해 발생할 수 있는 보안문제는 쿠키값 탈취 후 세션하이재킹을 통해서 비공개 게시물 열람, 일촌 열람, 비공개 방명록 열람 등등 개인정보 침해가 될 수 있는 상황이다. 주의해야 한다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com