대구자원봉사정보센터 웹사이트에서 크로스 사이트 스크립팅(XSS) 취약점이 발견됐다.
 
XSS 취약점은 사용자의 입력을 받아 처리하는 웹 응용 프로그램에서 입력 내용에 대해 실행 코드인 스크립트의 태그를 적절히 필터링하지 않을 경우에 나타난다.
 
이 취약점을 발견하고 데일리시큐에 제보한 한종훈 군(16, infoin 소속)은 “해당 취약점을 통해 사용자 PC로부터 컴퓨터 사용 기록인 쿠키파일을 빼낼 수 있다”며, “특히 쿠키파일은 웹사이트 아이디와 비밀번호 등 중요한 개인정보를 담고 있어 유출시 피해가 우려된다”고 밝혔다.
 
또한 웹사이트의 관리자 권한을 취득해 악성코드나 악성링크를 자유롭게 삽입할 수 있어 문제가 될 수 있다.
 
그는 대응 방안에 대해 “특수문자인 &, <, >, % 등을 확인하는 방식으로 스크립트 실행을 방지하고, Javascript라는 특정문자열을 다른 문자열로 스크립트가 실행되지 않게 하도록 인코딩 및 16진수를 치환해주는 방법을 필터링 해야 한다”고 조언했다.
 
데일리시큐는 해당 취약점을 KISA에 전달해 신속한 보안패치가 이뤄질 수 있도록 할 예정이다.
 
데일리시큐 길민권기자 mkgil@dailysecu.com