사용자 개인정보나 쿠키정보 유출될 수 있어 주의해야
국내 3곳의 파일 공유 사이트에서 XSS 취약점이 발견됐다. XSS(Cross Sit Scripting) 취약점은 흔하지만 다양한 해킹 공격에 이용될 수 있어 위험한 웹 취약점으로 분류하고 있다. 관리자의 적극적인 대처가 필요하다.해당 취약점을 발견하고 데일리시큐에 제보한 박종현(도당고) 군은 “사용자들이 많은 파일 공유 사이트 3곳 빅파일, 클럽박스, 내디스크 사이트에서 XSS 취약점을 발견했다”며 “XSS 취약점은 사용자에게 악의적인 웹 컨텐츠나 URL, 악성코드 등을 유포할 수 있는 위험성이 있다. 사이트에 실행 코드와 태그의 업로드가 규제되지 않는 경우 발생하기 때문에 관리자의 보안조치가 필요하다”고 밝혔다.
취약점 패치 방안에 대해 박 군은 “특수문자 사용 제한(<>/ 등등), 글자 수 제한, 허용 가능한 데이터만 필터링하도록 제한해야 하고 데이터가 코드로 해석되는 것을 방지해야 안전할 수 있을 것”이라고 조언했다.
만약 XSS 취약점을 방치할 경우, 악성코드 또는 악성 URL이 유입되거나 악의적인 웹 컨텐츠가 전송되어 이를 열람한 사용자의 개인정보나 쿠키가 유출될 수 있어 주의해야 한다.
데일리시큐는 해당 취약점을 KISA에 전달해 보안조치가 이루어질 수 있도록 할 예정이다.
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지