청소년사이버상담센터 사이버1388(cyber1388) 사이트에서 XSS 취약점이 발견됐다. XSS 취약점은 위험한 웹 취약점으로 신속한 보안조치가 필요하다.
 
XSS(크로스사이트스크립팅, Cross Site Scripting) 취약점은 2013 OWASP Top 10에서 애플리케이션이 신뢰할 수 없는 데이터를 가져와 적절한 검증이나 제한없이 웹브라우저로 보낼 때 발생하며 공격자가 피해자의 브라우저에 스크립트를 실행해 사용자 세션탈취, 웹사이트변조, 악의적인 사이트로 이동할 수 있다고 경고하고 있다.
 
특히 XSS는 가장 널리 알려진 웹애플리케이션 보안 취약점이다. XSS는 애플리케이션에서 브라우저로 전송하는 페이지에서 사용자가 입력하는 데이터를 검증하거나 이스케이핑하지 않을 때 주로 발생한다.
 
사이버1388 사이트의 XSS 취약점을 발견하고 데일리시큐에 제보한 김용진(JTJSOFT 소속) 군은 “11월 초 해당 사이트의 XSS 취약점을 발견하고 보안조치가 필요하다는 생각에 데일리시큐에 제보하게 됐다”며 “해당 사이트 게시판에서 onerror 이벤트 속성을 제대로 필터링 하지 않아 발생하는 취약점”이라고 설명했다.
 
김 군은 또 “html 코드를 실행시키지 못하게 하거나 onerror와 같은 이벤트속성을 적절히 필터링 해줘야 해당 취약점을 해결할 수 있을 것”이라고 조언하며 방치할 경우 “이 취약점으로 인해 쿠키탈취 피싱사이트 유도, 악성코드 주입 등이 가능하다”고 경고했다.
 
데일리시큐는 해당 취약점을 KISA에 전달해 신속한 보안조치가 이루어질 수 있도록 할 예정이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com