다음 블로그에 XSS 취약점이 발견됐다는 제보가 들어왔다. XSS 취약점을 방치할 경우 쿠키탈취나 계정유출 등 다양한 보안문제가 발생할 수 있어 주의해야 한다.
 
이번 취약점을 발견하고 데일리시큐에 제보한 신재현(신방초) 군은 “다음 블로그는 특정 코드 onclick, onmousever, onerror 등을 On_click, on_mousever, on_error 등으로 필터링을 하고 있지만 몇몇의 on 태그를 막지 않고 있다”며 “그 점을 이용한 XSS 취약점이 가능한 상황”이라고 전했다.
 
더불어 취약점 대응을 위해 “다음 블로그의 Onactivate 이벤트도 onerror을 on_error로 필터링 한 것처럼 onactivate 조차도 on_activate로 필터링 해준다면 문제가 해결 될 수도 있을 것”이라고 조언했다.
 
데일리시큐는 해당 취약점을 KISA에 전달해 보안패치가 이루어질 수 있도록 할 예정이다 .
 
데일리시큐 길민권 기자 mkgil@dailysecu.com