모 스터디공간 대여 사이트(www.studyXXXXX.com)의 공지사항, 예약신청 게시판 등에서 블라인드 SQL인젝션 취약점이 발견됐다. 공지사항, 예약신청 글 중 하나를 골라 뒷주소에 에러를 내는 문자를 삽입하면 되는 취약점이다.
 
이번 취약점을 발견하고 데일리시큐에 제보한 윤성권(0xyzen TEAM 소속) 군은 “블라인드 SQL 인젝션은 악의적인 문자를 삽입해 쿼리결과로 나오는 결과에 따라 DB를 공격하는 기법”이라며 “SQL 구문을 필터링 하지 않아 발생하는 취약점으로 악의적 해커가 오류정보를 획득해 DB를 탈취하고 이를 통해 회원들의 다양한 정보를 빼내 올 수 있다. 그리고 관리자의 계정까지 획득 할 수 있어 보안조치가 필요하다”고 밝혔다.
 
윤 군은 취약점 보안 방안에 대해 “SQL 구문을 필터링해 서버단에서 처리하거나 다른 문자로 치환하거나 쿼리 에너가 났을 때 에러에 대한 정보를 표시 하지 않아야 한다”고 조언했다.
 
데일리시큐는 해당 취약점에 대한 리포트를 KISA에 전달해 신속한 보안패치가 이루어질 수 있도록 할 예정이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com