국내 모 커피전문점 사이트에 SQL인젝션 취약점으로 사이트내 정보가 유출될 수 있는 위험이 존재한다는 것이 발견됐다.
 
해당 취약점을 발견하고 데일리시큐에 제보한 하큐어 대표 김우석씨는 “크롬에서 로그인 값이 주소창을 통해 전달이 됨을 알 수 있으며, ID필드의 값을 검증하지 않아 SQL문을 이용해 공격을 시도할 경우 취약성이 드러났다”며 “ID를 입력하는 필드에 ' or 1=1 --; 이라는 SQL문을 사용해 연산값을 항상 참으로 만들고 주석처리를 이용함으로써 타인의 ID와 비밀번호를 모르더라도 권한을 쉽게 얻을 수 있고 승인되지 않은 공간에 접근마저 가능하다. 또한 404에러페이지에서 민감정보가 그대로 노출되고 있다”고 설명했다.
 
그는 “서버설정을 통해 에러페이지에서 민감 정보를 노출하지 않도록 조치를 취해야 한다”고 강조하고 “ID필드에 입력받는 값을 검증하고 이를 치환하거나 사용하지 못하도록 화이트리스트로 필터링 하는 것을 권장한다. 또한 값을 전달할 때도 GET방식이 아닌 POST방식을 사용하는 것을 권장한다”고 덧붙였다.
 
해당 취약점으로 타인의 정보를 열람하거나 관리자 권한을 획득할 수 있어 개인정보 유출이나 페이지 변조 허위사실 공지 등의 다양한 피해가 발생할 수 있어 위험하다. 뿐만아니라 민감정보가 그대로 노출되고 있어 데이터베이스의 정보와 쿼리정보 노출 WAS 정보노출로 인해 관리자 권한 탈취 등 제로데이 공격에 매우 취약한 상황이다.
 
해당 홈페이지는 현재 많은 취약점이 존재함에 따라 보안점검이 필요하다. 데일리시큐는 해당 취약점을 KISA에 전달해 보안조치가 이루어질 수 있도록 할 예정이다.
 
<★보안취약점 제보는 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com