2024-03-29 15:15 (금)
아이돌 그룹 헬로비너스 홈피, SQL인젝션 취약점 발견!
상태바
아이돌 그룹 헬로비너스 홈피, SQL인젝션 취약점 발견!
  • 길민권
  • 승인 2013.04.18 17:05
이 기사를 공유합니다

“파라미터 값 검사하지 않아 발생…DB위험”
여성아이돌 그룹 헬로비너스 공식 홈페이지(www.hellovenus.co.kr)에 SQL injection, Blind SQL injection 취약점이 발견됐다.

이 취약점을 발견하고 데일리시큐에 제보한 CodeRed 소속 이만희씨는 “Hellovenus 공식 홈페이지 Notice, News 부분에서 f_num 부분에 싱글쿼터를 삽입하면 홈페이지 내부 에러가 출력되면서 Blind SQL Injection, SQL injection이 가능하게 된다”며 “이를 통해 DB에 허가 없이 직접적인 접근이 가능해지며 쿼리문에 따라 DB삭제, 수정, 삽입이 관리자의 허가 없이 가능할 수 있는 취약점이다. 조치가 필요하다”고 조언했다.
 
취약점 대책 방안에 대해 그는 “웹개발자들이 프로그래밍을 할 때, 시큐어코딩을 해주어야 하며 파라미터 값을 검사해 웹개발자가 의도한 값이 아니면 404 error 페이지를 뜨게 하는 방법도 있다”고 말했다.
 
이 취약점은 최근 발견한 취약점이며 해당 파라미터 값을 검사하지 않아 생기는 취약점인 만큼 해당 사이트 관리자는 보안조치를 할 것을 권고한다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com
 
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★