개인정보 도용 및 CSRF 공격도 가능해 주의
다음 블로그에 XSS(크로스사이트스크립팅) 취약점이 발견됐다. XSS 취약점은 OWASP TOP10에서도 3위에 해당할 정도로 영향력있는 웹 취약점으로 알려져 있다. 이를 통해 악의적 해커는 관리자 권한을 탈취할 수 있으며 악성코드 유포에 의한 좀비PC도 생산할 수 있게 된다.해당 취약점을 발견하고 데일리시큐에 제보한 신재현(창원동중) 군은 “다음 블로그의 자바스크립트 필터링이 제대로 되어있지 않아 XSS 취약점이 발생한다”며 “자바스크립트를 호출하거나 문자열을 유니코드로 변환할 경우 소스코드가 실행된다”고 설명했다.
또 “XSS 취약점을 방치할 경우 사용자의 쿠키 정보를 탈취하고 변조할 수 있어 사용자의 개인정보를 도용할 수도 있다. 또 CSRF 공격도 이루어질 수 있어 댓글 자동생성, 자동추천, 게시물 도배 등에 악용될 소지가 있다”고 경고했다.
이를 예방하기 위해서는 “‘Javascript:’를 ‘자바스크립트:’, ‘실행불가:’ 등으로 필터링 해 소스가 실행되지 않도록 하는 등의 필터링 방법이 효율적이라 생각한다”고 밝혔다.
데일리시큐는 해당 취약점을 KISA에 전달해 보안조치가 될 수 있도록 할 예정이다.
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지