2024-03-28 19:05 (목)
한게임·넷마블·엠게임사이트, XSS취약점 발견!
상태바
한게임·넷마블·엠게임사이트, XSS취약점 발견!
  • 길민권
  • 승인 2013.04.29 07:32
이 기사를 공유합니다

XSS취약점, 계정 탈취, 악성코드 유포, 피싱 등 공격유발 원인
국내 대표적인 게임사이트인 한게임, 넷마블, 엠게임 등의 사이트에서 XSS취약점이 발견됐다. XSS(크로스사이트스크립팅)취약점은 서버에 전송한 스크립트가 사용자에게 그대로 실행되는 취약점으로 계정 탈취, 악성코드 유포, 피싱 등의 공격유발 원인이 될 수 있어 조치가 필요한 상황이다.

 
이번 취약점을 발견하고 데일리시큐에 제보한 부산대학교 정보보안 동아리 KEEPER 소속 조민기 씨는 “해당 취약점은 지난 3월 중순 발견해 데일리시큐에 제보하게 됐다. 현재 일부 수정되었고 일부는 수정중인 것으로 안다”며 “사용자에게 받은 값을 검증하지 않아서 발생하는 취약점이다. 계정 탈취, 악성코드 유포, 피싱 등의 공격이 발생할 수 있어 조치를 취해야 한다”고 설명했다.
 
그는 사이트별로 취약점에 대한 상세한 설명도 함께 보내왔다. 그의 말에 따르면, “우선 엠게임은 <script>태그와 “, ‘문자에 대해 필터링이 이루어지지만 <iframe> 태그나 <embed> 태그로 우회가 가능했다.  IE와 파이어폭스에서 XSS가 발생했다”고 설명했다.
 
또 “넷마블은 사용자가 로그인 된 상태가 아니면 XSS가 발생한다. l_errmsg 인자의 값이 HTML에 그대로 입력되었지만 크롬에서는 스크립트가 실행되지 않았다. 크롬을 제외한 두 가지 브라우저에서는 XSS가 발생했다”고 한다
 
마지막으로 “한게임은 <script>태그에 대한 필터링이 이루어졌지만 <iframe> 태그와, <embed> 태그로 우회가 가능했다. IE와 파이어폭스에서 XSS가 발생한다”고 설명했다.
 
현재 조민기 씨는 KISA에 해당 사이트들의 취약점을 통보한 상태다. 업체들의 신속한 보안조치가 필요하다.  
 
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★