유명 BJ가 운영하는 신발 쇼핑몰 사이트에 XSS 취약점이 발견됐다. 일부 태그가 필터링 되지 않아 발생하는 취약점으로 타인 명의로 물품을 구매할 수 있는 등 보안문제가 발생할 수 있어 보안조치가 필요하다.
 
해당 취약점을 발견하고 데일리시큐에 상세한 리포트를 제보한 김덕현(김해고) 군은 “쇼핑몰에서 다른 태그는 우회시키는 반면 <body>태그는 우회시키지 않고 있다. <body>태그의 onload 속성에 자바스크립트를 넣게 되면 필터링이 되지 않는 다는 것을 알 수 있다. 아마 다른 태그도 가능 할 것으로 예상된다”고 주의를 당부했다.
 
이러한 취약점을 방치할 경우에 대해 제보자는 “해당 사이트는 인증세션을 쿠키에 저장하고 있으므로 관리자의 쿠키를 탈취해 사용하거나 다른 회원의 쿠키를 탈취해 사용 할 수 있다. 이를 통해 다른 사람 명의로 물품을 구입하는 등 피해가 발생할 수 있어 취약점 수정을 해야 안전하다”고 권고했다.
 
데일리시큐는 해당 취약점을 KISA에 전달해 보안조치가 이루어질 수 있도록 할 예정이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com