모 포털에서 제공하는 메신저와 SNS 사이트의 웹페이지 로그인 페이지에서 리다이렉트 취약점이 발견됐다.
 
해당 취약점을 발견하고 데일리시큐에 제보한 조성준(영덕중) 군은 “로그인을 시도하고 난 후, 리다이렉트되는 링크를 파라미터를 통해 전달 받는데, 여기서 이 파라미터값을 필터링하지 않아 발생하는 취약점”이라고 설명했다.
 
조 군은 “필터링을 하지 않게되면 서버 측에서 원하는 사이트가 아닌 다른 사이트로도 리다이렉트가 가능하게 된다”며 “즉, 해커가 이것을 악용해 다른 사이트로 유도할 수 있을 것이다. 피싱이 가능하게 된다. 이렇게 되면 피해자들의 PC는 좀비PC가 되거나 계정 ID나 PW가 탈취 될 가능성이 있다”고 우려했다.
 
이를 해결하기 위해서는 “다른 사이트로 이동하게 될 때, 서버 측에서 알림창을 띄워 주는 것도 해결책”이라며 하지만 “이 취약점은 리다이렉트 링크가 담긴 파라미터값을 필터링하지 않아 발생하는 문제다. 그러므로 이 파라미터를 필터링해 이러한 리다이렉트 취약점을 해결하는 방법이 더욱 확실한 해결책이라고 볼 수 있다”고 말했다.
 
데일리시큐는 이 취약점을 해당 업체 담당자에게 전달해 조치가 이루어질 수 있도록 할 예정이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com