개인정보 DB 유출과 악성코드 유포, 내부시스템 공격 등 악용 가능…주의
포털사이트, 쇼핑몰, 소셜커머스 등 사이트에서 웹사이트 취약점이 발견됐다는 제보가 들어왔다. KOSTA 김호진 교육생은 해당 취약점을 발견하고 데일리시큐에 알려 신속한 패치가 될 수 있도록 조치를 요청했다.김호진씨는 “여전히 많은 사이트들에서 XSS 취약점과 SQL 인젝션 취약점이 존재하고 있다. 이러한 취약점은 공격자들의 타깃이 될 수 있으며 사용자 개인정보 DB 유출과 악성코드 유포, 내부시스템 공격 등에 악용될 수 있어 각별히 주의해야 한다”고 당부했다.
◇포털사이트 부동산 페이지 XSS 취약점
대형 포털 D사이트에서 XSS취약점이 발견됐다. 해당 포털은 XSS를 피하기 위해 script, alert 등의 문구를 필터링 하고 있지만 scripscriptt, aleralertt 등으로 코드를 작성시 이중으로는 필터링을 하지 않고 일차적으로만 필터링하고 있다. 그 결과 주소에 코드를 입력 시 전송되는 값이 일차적으로 필터링 된 후 XSS코드가 서버에서 실행되고 있다.
◇블라인드 SQL 인젝션 취약 쇼핑몰 사이트
D사가 운영하는 W쇼핑몰 FAQ페이지에서 블라인드 SQL 인젝션 취약점이 발견됐다. ‘and 1=1# 와 ‘and1=2# 의 값을 전송한 결과, 결과 값이 다르게 나오는 것이 확인됐다.
검색창을 통해서 데이터 입력 시 필터링이 되지 않음을 확인 할 수 있다. 만약 이런 상태가 계속 유지된다면 DB 정보도 모두 노출 시킬 수 있어 주의해야 한다.
◇ Y소셜커머스에 SQL 인젝션 취약점 존재
유아용품 전문 소셜커머스 사이트에 SQL 인젝션 취약점이 존재해 매우 취약한 상황이다. 검색창에 값을 집어 넣었을 뿐인데도 바로 SQL 쿼리문이 화면에 모두 보여지는 상황이다. 신속한 보안조치가 필요하다.
KISA 관계자는 “Cross-site scripting(XSS) 취약점은 웹 페이지가 사용자에게 입력 받은 데이터를 필터링하지 않고 그대로 동적으로 생성된 웹 페이지에 포함하여 사용자에게 재전송할 때 발생한다”며 “자바스크립트처럼 클라이언트 측에서 실행되는 언어로 작성된 악성 스크립트 코드를 웹페이지, 웹 게시판 또는 이메일에 포함시켜 사용자에게 전달하면, 해당 웹 페이지나 이메일을 사용자가 클릭하거나 읽을 경우 악성 스크립트 코드가 웹 브라우저에서 실행이 된다”고 설명했다.
즉 공격자는 XSS 취약점이 존재하는 웹 사이트를 이용해 자신이 만든 악의적인 스크립트를 일반 사용자의 컴퓨터에 전달하여 실행시킬 수 있는데, 이러한 공격방법을 통해 사용자 쿠키를 훔쳐서 해당 사용자권한으로 로그인하거나 브라우저를 제어할 수 있어 위험하다.
한편 SQL 인젝션(악의적인 명령어 주입 공격) 취약점에 대해서는, 현재 대부분의 웹 사이트들은 사용자로부터 입력받은 값을 이용해 데이터 베이스 접근을 위한 SQL Query를 만들고 있다.
사용자 로그인 과정을 예로 들면, 사용자가 유효한 계정과 패스워드를 입력했는지 확인하기 위해 사용자 계정과 패스워드에 관한 SQL Query문을 만든다. 이때 SQL injection 기법을 통해서 정상적인 SQL query를 변조할 수 있도록 조작된 사용자 이름과 패스워드를 보내 정상적인 동작을 방해할 수 있다. 이러한 비정상적인 SQL 쿼리(Query)를 이용해 다음과 같은 공격이 가능하다.
-사용자 인증을 비정상적으로 통과할 수 있다.
-데이터베이스에 저장된 데이터를 임의로 열람할 수 있다.
-데이터베이스의 시스템 명령을 이용하여 시스템 조작이 가능하다.
이러한 취약점을 SQL 인젝션 취약점이라고 하며, 사용자가 데이터 입력이 가능한 수 많은 웹 페이지 상에 이러한 취약점이 존재할 수 있다.
데일리시큐는 해당 제보 내용을 KISA에 전달해 취약한 사이트의 보안조치가 이루어질 수 있도록 할 예정이다.
<★정보보안 대표 미디어 데일리시큐!★>
데일리시큐 길민권 기자 mkgil@dailysecu.com
D사가 운영하는 W쇼핑몰 FAQ페이지에서 블라인드 SQL 인젝션 취약점이 발견됐다. ‘and 1=1# 와 ‘and1=2# 의 값을 전송한 결과, 결과 값이 다르게 나오는 것이 확인됐다.
검색창을 통해서 데이터 입력 시 필터링이 되지 않음을 확인 할 수 있다. 만약 이런 상태가 계속 유지된다면 DB 정보도 모두 노출 시킬 수 있어 주의해야 한다.
◇ Y소셜커머스에 SQL 인젝션 취약점 존재
유아용품 전문 소셜커머스 사이트에 SQL 인젝션 취약점이 존재해 매우 취약한 상황이다. 검색창에 값을 집어 넣었을 뿐인데도 바로 SQL 쿼리문이 화면에 모두 보여지는 상황이다. 신속한 보안조치가 필요하다.
KISA 관계자는 “Cross-site scripting(XSS) 취약점은 웹 페이지가 사용자에게 입력 받은 데이터를 필터링하지 않고 그대로 동적으로 생성된 웹 페이지에 포함하여 사용자에게 재전송할 때 발생한다”며 “자바스크립트처럼 클라이언트 측에서 실행되는 언어로 작성된 악성 스크립트 코드를 웹페이지, 웹 게시판 또는 이메일에 포함시켜 사용자에게 전달하면, 해당 웹 페이지나 이메일을 사용자가 클릭하거나 읽을 경우 악성 스크립트 코드가 웹 브라우저에서 실행이 된다”고 설명했다.
즉 공격자는 XSS 취약점이 존재하는 웹 사이트를 이용해 자신이 만든 악의적인 스크립트를 일반 사용자의 컴퓨터에 전달하여 실행시킬 수 있는데, 이러한 공격방법을 통해 사용자 쿠키를 훔쳐서 해당 사용자권한으로 로그인하거나 브라우저를 제어할 수 있어 위험하다.
한편 SQL 인젝션(악의적인 명령어 주입 공격) 취약점에 대해서는, 현재 대부분의 웹 사이트들은 사용자로부터 입력받은 값을 이용해 데이터 베이스 접근을 위한 SQL Query를 만들고 있다.
사용자 로그인 과정을 예로 들면, 사용자가 유효한 계정과 패스워드를 입력했는지 확인하기 위해 사용자 계정과 패스워드에 관한 SQL Query문을 만든다. 이때 SQL injection 기법을 통해서 정상적인 SQL query를 변조할 수 있도록 조작된 사용자 이름과 패스워드를 보내 정상적인 동작을 방해할 수 있다. 이러한 비정상적인 SQL 쿼리(Query)를 이용해 다음과 같은 공격이 가능하다.
-사용자 인증을 비정상적으로 통과할 수 있다.
-데이터베이스에 저장된 데이터를 임의로 열람할 수 있다.
-데이터베이스의 시스템 명령을 이용하여 시스템 조작이 가능하다.
이러한 취약점을 SQL 인젝션 취약점이라고 하며, 사용자가 데이터 입력이 가능한 수 많은 웹 페이지 상에 이러한 취약점이 존재할 수 있다.
데일리시큐는 해당 제보 내용을 KISA에 전달해 취약한 사이트의 보안조치가 이루어질 수 있도록 할 예정이다.
<★정보보안 대표 미디어 데일리시큐!★>
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지
