악성코드 유포 및 피싱 사이트 유도, 타인 권한 획득 등 가능해
국내 인터넷종합쇼핑몰 인터파크 사이트에서 XSS 및 CSRF 그리고 파라메타 변조 등 다수의 취약점이 발견됐다. 이런한 취약점을 통해 다양한 보안위협들이 발생할 수 있어 신속한 보안조치가 필요한 상황이다.해당 취약점을 발견하고 데일리시큐에 제보한 박병욱(경성대 컴퓨터공학부) 씨는 “지난달 20일 취약점들을 발견하고 해당 사이트에 문의한 상태다. 하지만 아직 보안이 되지 않고 있다”며 “인터파크 사이트에 파라메타 값 변조 및 XSS, CSRF 취약점이 발견됐다. XSS, CSRF 취약점들은 상품에 들어갔을 때 보게되는 Q&A 부분에 대한 취약점이다. 그리고 이런 취약점들은 악성코드 유포 및 피싱 사이트 유도 등의 공격으로 이어질 수 있는 부분이다. 그리고 파라메타 값 변조는 특정 URL의 전송 파라메타 값에 대해 변조해 타인의 권한을 획득 할 수 있는 부분이다. 즉 URL 입력 만으로 타인의 ID로 로그인이 가능해 위험하다”고 제보했다.
취약점에 대한 상세분석 보고서를 보내온 박 씨는 “XSS 취약점은 Q&A 등록 시, 서버 측에서 금지단어 필터링을 확실히 하지 않아 발생한 취약점이며 악성코드 유포 및 피싱사이트 유도 등의 공격이 가능하다. CSRF 취약점과 XSS 취약점을 결합해 상품에 접속하는 사용자들마다 악성코드 유포 및 피싱 사이트 유도 등의 악성 스크립트가 포함된 Q&A 글 등을 유도할 수 있다”고 경고했다.
또 “URL의 파라메타 값 조작을 통한 타인의 ID로 로그인이 가능하며 변수 memNo 값에 대한 무작위 대입법을 통한 공격이 가능하며 인터파크 페이지 사용 중 memNo 값에 대한 노출이 있다”고 설명했다.
이러한 취약점에 대한 보안대책으로는 어떤 것들이 있을까. XSS 및 CSRF 취약점은 문의 글 기재 시 img 태그 등 다수의 불필요한 태그들 사용 시 에러 발생 또는 인코딩 시켜 사용 불가능 하게 만들어야 하고 내용 및 제목 부분에서 HTML 사용을 불가능 하게 해야 한다. 또 img 태그의 onerror 속성에 대한 HTML 인코딩 및 특수 문자 " , ' , / , > , < 들을 HTML 인코딩, 서버 측에서 문의 글 기재 시 좀 더 확실한 필터링이 필요하다.
또 파라메타 변조에 대해서는 페이지 사용 중 변수 memNo 값에 대한 노출이 되지 말아야 하며 로그인 폼에 대해서만 세션 성립을 허용 해야 한다. 그리고 회원정보 수정 시 무조건 패스워드 입력을 필요로 하게 해야 한다.
데일리시큐는 해당 취약점을 KISA에 전달해 보안조치가 신속하게 이루어질 수 있도록 할 예정이다.
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지
