“데이터 값 전부를 체크해 잘못된 값 걸러내야 안전해”
포털 다음 블로그에서 CSRF와 XSS 취약점이 발견됐다. 해당 취약점을 발견하고 데일리시큐에 제보한 최진웅(호서대학교 정보보호학과)씨는 “포털 다음 블로그에서 글을 쓸 때 서버로 넘어가는 정보에 스크립트를 같이 넣어 보내면 필터링 되지 않은 채로 서버에 저장한다”며 “이렇게 되면 CSRF나 XSS 공격을 할 수 있어 보안조치가 필요하다”고 제보해 왔다.또 그는 “블로그 특성상 글을 쓰면 검색엔진에 노출되기 때문에 블로그에 악성코드를 심어놓고 글을 쓰기만 해도 바이러스를 배포할 수 있어 주의해야 한다”고 덧붙였다.
이 취약점을 해결하기 위해 그는 “현재 다음 글쓰기 데이터를 서버에서 받고 몇 몇개만 필터링하는데 들어오는 값 전부를 체크해서 잘못된 값을 걸러내야 안전할 것”이라고 제안했다.
데일리시큐는 이 취약점을 KISA에 전달하고 보안조치가 이루어질 수 있도록 할 예정이다.
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지