2020-04-09 22:00 (목)
유명 영어교육사이트, SQL인젝션 취약점...DB유출 위험
상태바
유명 영어교육사이트, SQL인젝션 취약점...DB유출 위험
  • 길민권
  • 승인 2013.12.17 22:18
이 기사를 공유합니다

취약점으로 인한 관리자 페이지 접근 가능해 조치 필요

국내 유명 영어스피킹 교육 사이트에 SQL인젝션을 이용한 관리자 로그인 및 블라인드 SQL 인젝션을 이용한 DB 추출이 가능하다는 제보가 들어왔다.

해당 사이트의 취약점을 발견하고 상세 리포트를 데일리시큐에 제보한 손진혁(내성중) 군은 모 영어교육사이트 관리자 로그인 페이지에서 아주 기초적인 SQL인젝션 구문을 사용해 ID 부분에 ' or 1=1을 적은 뒤 로그인 시도 시 비밀번호와 상관없이 로그인 될 수 있는 상황이라며 또한 게시글 번호 뒷 부분에 싱글쿼터를 이용하면 에러 메시지가 뜨는 것을 확인할 수 있는데, 이를 이용해 DB를 추출 해 낼 수 있어 보안 조치가 필요하다고 밝혔다.

이러한 취약점을 방치할 경우 해당 사이트를 이용하는 유저들의 DB를 추출해 낼 수 있어, 개인정보가 유출될 수 있고 피싱 등의 2차 피해 위험이 있다. 또 관리자 페이지 로그인이 허용되기 때문에 구매내역, 쿠폰 발급 내역을 조작해 사이트 운영자에 금전적 피해도 발생할 수 있어 위험하다고 주의를 당부했다.

취약점 패치 방안에 대해 손 군은 “‘를 각각 '"로 치환해 처리해야 한다. 그리고 select * from member where id = ? and pw = ?와 같이 정적쿼리를 사용해 개발하면 예방할 수 있을 것이라고 조언했다.

데일리시큐는 해당 취약점을 KISA에 전달해 신속한 패치가 이루어질 수 있도록 할 예정이다.

데일리시큐 길민권 기자 mkgil@dailysecu.com