2024-03-29 10:50 (금)
[제보] 인기 영어강의 사이트에 SQL인젝션 취약점 발견!
상태바
[제보] 인기 영어강의 사이트에 SQL인젝션 취약점 발견!
  • 길민권
  • 승인 2013.07.08 19:36
이 기사를 공유합니다

“사이트 광고 비용의 일부라도 보안에 투자하길”
포털 사이트 메인 광고를 하는 등 국내에서 유명한 인터넷 강의 사이트에 SQL인젝션 취약점이 발견됐다.
 
이번 취약점을 최초 발견하고 데일리시큐에 제보한 이상명씨는 “해당 사이트에서 거의 모든 게시판에서 SQL인젝션 취약점이 발견됐다”며 “포털 메인광고에 광고를 게재할 정도로 나름 영향력 및 인지도가 높은 사이트로 보인다. 하지만 시큐어코딩을 전혀 하지 않은 것 같다”며 취약점에 대한 조치를 당부했다.


<취약점 검증 결과. 이상명 제공>
 
그는 취약점 분석 방법에 대해 “파리미터뒤에 싱글쿼터를 넣어봄으로써 인젝션이 가능한지 알 수 있다. 그래서 이번 건도 싱글쿼터를 입력하는 방법으로 인젝션 테스트를 진행했다”며 “그 결과 카테고리 부분과 토익후기 게시판, 토익비법게시판, XX학원스토리, 온라인강좌/수강신청 게시판 등에서 취약점이 발견됐다”고 설명했다.
 
그는 취약점과 관련 “포털에 광고하는 비용을 조금만 시큐어코딩에 신경을 쓰면 이용자들이 좀더 안전하게 사이트를 이용할 수 있을 것”이라며 “홈페이지 보안에 좀더 신경을 써주기 바란다”고 밝혔다.
 
데일리시큐는 해당 취약점에 대해 KISA에 전달해 조치가 될 수 있도록 할 예정이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★