모 프로그래머와 예비 개발자의 학습 및 놀이 동아리 사이트(soXX.kr / 일부X처리)에서 공지사항과 업데이트 소식 부분에 pk파라미터 뒤에 싱글쿼터 입력시 홈페이지 내부 에러가 출력되어 Blind SQL injeciton과 SQL injection이 가능한 취약점이 발견됐다. 프로그래머들과 예비 개발자들의 학습 공간인 만큼 신속한 조치를 취해야 할 것으로 보인다.
 
이 취약점을 발견하고 데일리시큐에 제보한 花?? 소속 이상명씨는 “지난 4월 16일 취약점을 발견했다”며 “파라미터 값을 검사해 필터링하지 않아서 발생하는 취약점이다”라고 설명했다.

 
그는 해결방안에 대해 “단순하게 soXX.kr 웹개발자가 시큐어코딩만 해주시면 된다. 파라미터 값을 필터링 해줘 웹개발자가 원하는 파라미터값이 아닌 경우 첫번째 방법으로, 404 에러 페이지를 띄우게 하는 방법이 있다. 또 페이지 리다이렉팅을 이용해 웹개발자가 원하는 페이지를 띄워 해당 이용자에게 경고를 주거나, 홈페이지의 메인으로 이동할 수 있다”고 설명한다.
 
이를 방치할 경우, 관리자 권한없이 데이터베이스명, 데이블명, 컬럼명 등등 조회, 수정, 삽입이 가능하며 해당 사이트(soXX.kr)에 가입된 아이디 및 패스워드 탈취가 가능하게 된다. 관리자의 신속한 보안패치가 필요하다. 데일리시큐는 해당 사이트 관리자에게 패치 권고 메일을 보낸 상태다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com