2024-03-29 17:55 (금)
재능기부 사이트에 XSS 취약점, 개인정보 유출 위험
상태바
재능기부 사이트에 XSS 취약점, 개인정보 유출 위험
  • 길민권
  • 승인 2015.05.12 02:38
이 기사를 공유합니다

악성코드 유포, 하이재킹, 세션 인젝션 등 다양한 공격에 노출될 수 있어
국내 모 재능기부 관련 사이트에서 XSS 취약점이 발견됐다. 해당 취약점을 통해 악성코드 유포, 하이재킹, 세션 인젝션 등 다양한 공격에 노출될 수 있어 주의해야 한다.
 
해당 취약점을 발견하고 데일리시큐에 제보한 김태현 제보자는 “웹페이지가 사용자에게 입력받은 데이터를 인코딩이나 필터링 없이 동적으로 생성된 웹페이지에 포함해 사용자에게 재전송할 때 발생한다”고 설명했다. 이를 통해 개인정보 유출 및 악성코드 유포 등이 가능한 상황이다.
 
취약점 패치 방안에 대해 그는 “사용자로부터 입력받는 모든 값을 서버에서 검증후 입력받도록해야 한다. 입력값 검증은 사용자입력으로 사용 가능한 문자를 정해놓고 나머지 모든 문자를 필터링하고 또 html entity 변환 및 16진수변환을 하는 방법이 있다”고 설명하고 덧붙여 “입력되는 특수문자는 그대로 받아들이지 말고 특수문자를 엔티티 형태로 변경해 입력 받아야 한다”고 권고했다.
 
데일리시큐는 해당 취약점을 KISA에 전달해 패치가 될 수 있도록 할 예정이다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★