모 인터넷서점 B사이트와 휴대폰 판매 C사이트에서 XSS 취약점이 발견됐다. 게시판에 body태그가 필터링 되지 않아 onload속성과 onunload속성을 이용한 XSS 취약점과 img태그의 onerro의 속성을 적절히 필터링하지 않아 발생한 XSS 취약점이었다.
 
두 사이트의 취약점을 발견하고 데일리시큐에 제보한 김정훈(동명대) 씨는 “두 사이트의 XSS 취약점을 발견하고 해당 사이트에 통보해 현재 취약점 패치가 이루어졌다”며 “주로 게시판에서 이러한 문제가 발생하고 있어 사이트 관리자들의 각별한 주의가 요구된다”고 전했다.
 
B사이트의 경우 img 태그와 body태그를 이용한 XSS취약점이었으며 Img 태그의 onerror속성의 값을 통해 스크립트를 실행했고 body태그의 경우 onload속성과 onunload속성을 통해 스크립트를 실행했다.
 
C사이트의 경우 자유게시판의 본문글을 입력하고 전송시 Paros(프록시툴)로 잡아보면 contens 파라미터에 본문에 입력한 글 이외의 다른 값들이 붙어 전송되는 것을 볼 수 있다. 해당 값을 지우고 “><script>alert(“XSS TEST”)</script>의 취약한 코드를 입력후 전송시 적절히 필터링되지못해 취약점이 발생했다.
 
제보자는 취약점 해결 방안에 대해 “두 사이트의 경우 모두 화이트 리스트 방식으로 안전한 html 태그만 허용해야 하며 또한 onerror, onload , onunload속성등등 XSS취약점이 발생할 수 있는 속성들의 값을 적절히 필터링해야 한다”고 조언했다.
 
취약점 방치할 경우, 두 사이트 모두 규모가 꽤 큰 사이트여서 해커가 XSS 취약점을 이용해 악성코드 배포 할 경우 치명적이다.
 
다행히 제보자의 리포트를 받은 두 사이트는 현재 취약점을 패치한 상태다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com