국제정보보안센터 염문식·장원용씨 발견, SQL인젝션 취약점 등

[보안뉴스 김태형] 국내 유명 쇼핑몰 솔루션 ‘위즈몰’에서 다양한 취약점이 발견되어 사용자들의 보안 패치가 요구된다.

해당 취약점들은 I2SEC(국제정보보안센터) 수강생인 염문식, 장원용씨가 발견해 개발사인 숍위즈 측에 전달했고 숍위즈에서는 보안 패치(www.shop-wiz.com/board/main/view/root/wizmall01/178/0/1)를 공개했다고 국제정보보안센터측은 밝혔다.

이번에 밝혀진 취약점들은 세션 관련 취약점 및 SQL 인젝션 취약점으로 허가되지 않은 사용자에 의한 포인트 수정 및 관리자 정보 노출/수정이 될 수 있는 취약점이라고 국제정보보안센터 측은 밝혔다.

세션 관리 취약점은 그림과 같이 해당 취약점을 가진 파일에 직접 접근하여 값을 넣어줄 경우 아무런 인증을 거치지 않고 해당하는 아이디를 가진 사용자의 포인트가 증가한다.

이는 해당하는 페이지에 접근시 사용자의 정보에 대한 검증을 거치지 않기 때문으로 패치된 6.5.1 버전에서는 해당 페이지에 접근시 관리자인지 재검증을 거치는 방법으로 보완됐다.

SQL Injection 관리자 정보 조회 취약점은 이미 등록되어 치환되고 있는 주요 키워드를 피해 등록되지 않은 문자열 관련 함수인 length, lpad, rpad 등과 benchmark 함수를 사용해 웹 브라우저의 반응 속도를 비교해 정보를 탈취하는 시간차 Blind SQL 인젝션이다. 해당 취약점은 빠져있던 키워드들을 추가로 등록함으로 보완된 것으로 알려졌다.

그리고 관리자 정보 수정 취약점은 UPDATE 쿼리문의 내용을 변경하여 관리자의 계정 정보를 변경하게 한다. 해당 취약점 역시 숍위즈측에 의해 조치됐다.

SQL 인젝션 취약점은 즉각적으로 해당 쇼핑몰의 관리자 권한을 가져올 수 있는 취약점으로 더욱 각별한 주의가 요망된다.

해당 취약점들을 발견한 I2SEC(국제정보보안교육센터) 측에서는 해당 취약점들에 대해 “민감한 정보를 관리하는 페이지에서는 사용자에 의한 직접 접근을 막고 접근자에 대한 권한 재검증이 이루어져야 하며, DB로 직접 전달되는 쿼리문을 생성할 때에는 주요 키워드들에 대한 검증 및 전체 문자열의 길이 또한 검증이 이루어져야 한다”고 조언했다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>