2020-04-10 11:45 (금)
온라인게임 붉은보석 홈페이지 XSS취약점 발견
상태바
온라인게임 붉은보석 홈페이지 XSS취약점 발견
  • 길민권
  • 승인 2013.09.24 03:00
이 기사를 공유합니다

자바스크립트 통해 다양한 공격 실행 할 수 있어 주의
MMORPG 온라인게임 붉은보석 홈페이지에서 XSS취약점이 발견됐다. XSS(Cross Site Scripting)취약점은 정보유출 사고를 발생시킬 수 있는 웹취약점으로 OWASP에서도 주의를 요구하는 취약점이다.

 
해당 취약점을 발견하고 데일리시큐에 제보한 이영훈(전남대학교 컴퓨터정보통신공학)씨는 “9월 18일 경, 붉은보석 장터게시판에서 HTML태그에 대한 필터링이 제대로 이루어지지 않아 자바스크립트 입력시 XSS에 대한 취약점을 발견했다”며 “2, 3차 피해를 막기 위해 해당 취약점을 붉은보석 고객센터에 필터링 보안요청을 권고한 상태”라고 밝혔다.
 
그는 “HTML편집모드에서 자바스크립트를 삽입하면 자바스크립트가 XSS 취약점 발견이라는 알림창을 통해 그대로 실행되는 것을 알 수 있다”며 “해커는 이러한 자바스크립트를 통해 피싱, 웜 또는 바이러스의 배포, CSRF, 세션 재사용 공격 등을 할 수 있어 주의해야 한다”고 경고했다.

취약점 해결 방안에 대해 “javascript, iframe 태그에 대한 필터링을 강화해야 하고 다른 우회스크립트가 또 존재할 수 있기 때문에 여러 우회방법을 생각하면서 스크립트에 대한 방어 대책을 강구해야 할 것”이라고 권고했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com