‘애플리케이션 이름’ 필드값에 입력값 검증 하지 않아

[보안뉴스 호애진] 트위터에 사용자 계정을 가로채거나 악성코드를 유포시킬 수 있는 XSS(Cross-site Scripting) 취약점이 발견됐다.

‘H4x0r-x0x’로 알려진 인도네시아의 보안연구원이 해당 취약점을 발견하고 자신의 트위터 계정을 이용해 이를 입증해 보였다.

그의 블로그에 따르면 이 취약점은 주로 트위터에서 개발자들이 사용하는 애플리케이션 등록 페이지의 ‘애플리케이션 이름’ 필드값에 입력값 검증을 하지 않아 발생하는 것으로 나타났다.

현재까지 이 취약점을 이용한 피해는 확인되지 않았으나 사이버 범죄자들이 이를  이용해 악성 자바스크립트 코드를 트위터 페이지에 삽입할 수 있다는 점이 문제로 제기되고 있다.

 

악성 자바스크립트 코드가 심어진 프로필을 방문하기만 해도 계정을 쉽게 탈취할 수 있으며 이는 보안이 취약한 웹사이트를 매개체로 사용한 일종의 웹사이트 웜을 이용해 삽시간에 광범위하게 전파시킬 수 있기 때문이다.

 

트위터 대변인은 “해당 문제를 인지하고 새로 등록되는 애플리케이션부터는 이 문제를 수정했지만 계속해서 등록된 모든 프로그램에 대해 확인하는 작업을 진행하고 있다”고 밝혔다.

[호애진 기자(is@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>