2024-03-29 22:50 (금)
인터넷 중고서점 사이트서 SQL인젝션과 XSS 취약점 발견
상태바
인터넷 중고서점 사이트서 SQL인젝션과 XSS 취약점 발견
  • 길민권
  • 승인 2014.03.03 18:02
이 기사를 공유합니다

회원들의 개인정보 유출 위험 있어 보안조치 필요
국내 모 인터넷 중고서점 사이트에서 SQL인젝션과 XSS 취약점이 발견됐다. 회원들의 개인정보 유출 위험이 있어 보안조치가 필요하다.
 
해당 취약점을 발견하고 데일리시큐에 제보한 양정민 씨는 “해당 사이트에서 회원가입중에 SQL인젝션 대입기법이 사용되어 취약점을 발견후 취약점들을 찾아본 결과 SQL인젝션과 XSS 취약점들이 발견됐다”며 “SQL인젝션과 XSS 취약점의 주된 원인은 웹 개발시 매개변수로 넘어가는 값의 형태를 명확히 제한하지 않아서다. 특히 요즘엔 소스 재활용 때문에 동일 소스로 개발된 웹사이트에는 같은 취약점들이 계속 발견되고 있다”고 제보했다.
 
이러한 취약점을 방치 할 경우 “SQL인젝션 공격을 당한다면 회원들 개인정보들이 유출될 수 있고 파일 변조가 일어날 수 있으며 사이트 관리자 계정을 가지고 악용될 수 있으며 XSS 공격을 당하다면 관리자 계정을 탈취당할 수 있어 주의해야 한다. 또 사이트 변조가 가능해 보안조치를 해야 한다”고 강조했다.
 
취약점 원인에 대해서는 “SQL인젝션 취약점은 회원가입시 알려져 있는 인젝션 문자열, 특수문자 등을 필터링 하지 않아 발생한다. 또 XSS는 게시물쓰기에 사용자가 입력 가능한 문자등을 제외하고 다른 문자들은 전부 필터링 되게 설정해야 할 것”이라고 권고했다.
 
데일리시큐는 해당 취약점을 KISA에 전달해 보안조치가 이루어질 수 있도록 할 예정이다.
 
데일리시큐 호애진 기자 ajho@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★