디시인사이드 갤로그 로그작성 부분에서 XSS취약점이 발견됐다. 이번 취약점을 발견하고 데일리시큐에 제보한 박종엽(분당대진고) 군은 “8월 2일 갤로그에서 XSS테스트를 하던 중 방어알고리즘을 발견했고, 그 점을 이용해 XSS공격이 가능하다는 것을 발견했다”고 설명했다.

 
이번 취약점에 대해 박군은 “디시인사이드의 갤로그 글쓰기 부분은 XSS 방어알고리즘을 가지고있지만(기사에서는 공개 불가) 이러한 방어법은 괜찮은 방어법으로 보일지 모르지만, 사실 안전하지 않은 방어법”이라며 “NULL 처리하는 부분을 없애 스크립트 구문을 실행시킬 수 있었다”고 구체적인 제보를 보내왔다.

 
또 “갤로그는 몇가지 태그를 제한하고 있어, 허용되는 태그를 이용해 1차적으로 우회한 뒤, 주석처리로 상쇄시키는 부분을 없애 XSS가 가능했다”고 밝혔다.
 
이러한 공격을 차단하기 위해서는 “우선 스크립트 구문이 업로드 되지 못하도록 제한시키는 것이 더 좋은 방어책이라 생각한다”고 제안했다.
 
데일리시큐는 해당 취약점을 KISA에 전달해 취약점이 해결될 수 있도록 할 예정이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com