유명 경제전략 온라인게임 거상 사이트에서 XSS 취약점이 발견됐다. XSS 취약점은 OWASP에서도 주요 웹사이트 취약점으로 거론하고 있는 취약점이다. 방치할 경우 사용자들을 피싱사이트로 유도하거나 악성코드 감염을 유발할 수 있어 주의해야 한다.
 
해당 취약점을 발견하고 데일리시큐에 제보한 김용진(JTJSOFT 소속) 군은 “11월 초 거상 사이트에서 XSS 취약점을 발견했다”며 “악의적으로 사용될 수 있어 보안조치가 필요해 데일리시큐에 제보하게 됐다”고 밝혔다.

 
이 취약점 발생 원인에 대해 김 군은 “취약점의 원인은 onerror, onload, iframe 등과 같은 태그들을 제대로 필터링 하지 못해 생기는 취약점”이라고 설명했다.
 
또 취약점 대응방안에 대해 그는 “html 태그가 필요없는 게시판이니 html 태그를 실행 못하게 하거나 on을 필터링한거나 <, >와 같은 것을 엔티티 문자로 필터링 해주면 될 것”이라고 조언하며 “이런 취약점을 방치할 경우 피싱사이트 유도, 쿠키값 탈취, 바이러스 주입 등이 이루어 질 수 있어 주의해야 한다”고 말했다.
 
데일리시큐는 해당 취약점을 KISA에 전달해 보안조치가 이루어질 수 있도록 할 예정이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com