다나와 홈페이지에 XSS 취약점이 발견됐다. XSS(크로스 사이트 스크립팅) 취약점은 OWASP 2013 Top 10에서도 위험한 웹취약점으로 주의를 요구하고 있는 취약점이다. 스크립트를 삽입해 웹에서 순수하게 제공되는 동작 외에 부정적으로 발생하는 액션을 말한다.

 
해당 취약점을 발견하고 데일리시큐에 제보한 박병욱(경성대학교 컴퓨터 공학부)씨는 “다나와 홈페이지 상품의견 부분에 XSS 취약점이 발견됐다”며 “Q&A 부분에서도 취약점이 발견됐다. 신속한 보안조치가 필요해 데일리시큐에 제보하게 됐다”고 밝혔다.
 
그는 “상품의견 입력시 HTML 인코딩 및 태그입력에 대한 필터링을 하지 않아 발생하는 취약점이다. XSS 취약점으로 피싱 사이트 유도 등이 가능하고 img 태그의 onerror 속성을 통한 피싱 사이트 유도 및 쿠키 탈취 등이 가능하다”며 “이외 다나와에 있는 여러 게시판에도 같은 형태의 XSS 취약점이 존재하는 것으로 보인다”고 신속한 보안조치가 필요하다고 강조했다.
 
보안대책으로는 “게시글 작성 및 상품의견 등록시 특수문자들을 HTML 인코딩이 필요하고 img, script 태그 등 게시글에 필요없는 태그 존재시 다른 대체 필터링이 필요하다. 그리고 onerror 속성에 대한 필터링, 에디터에 의해 입력되는 태그에 대한 필터링 등이 필요할 것으로 보인다”고 권고했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com