피싱이나 악성 사이트로 유도 가능...사용자 주의 필요!   

[보안뉴스 김태형] 오픈소스 경매 스크립트인 ‘Webid’에 검증되지 않은 리다이렉션 취약점이 발견되어 사용자들의 주의가 요구된다.

검증되지 않은 리다이렉트와 포워드(Unvalidated Redirects and Forwards)는 국제웹보안표준기구인 ‘OWASP Top 10’에 명시된 주요 보안위험에 해당하는 공격기법이다.

   ▲ 리다이렉트 공격화면

웹 어플리케이션은 종종 사용자들을 다른 페이지로 리다이렉트 하는데 적절한 검증과정을 거치지 않고 실행한다면 사용자들이 피싱사이트나 악의적인 사이트로 리다이렉트할 수 있다.

이번 취약점을 발견한 부산정보보안교육센터(i2Sec/부산, 대구)의 14기 수강생 김명환 씨는 “이 취약점을 이용해 공격자는 웹사이트 사용자들을 피싱사이트로 유도해 개인정보 등을 절취할 수 있고 악성사이트로 유도해 바이러스 및 웜을 설치하게 할 수 있다”라고 설명했다.

국제정보보안교육센터 측은 “이번 취약점의 해결방안으로는 단순히 리다이렉트의 사용을 피하는 것이 좋고 만약 사용해야 한다면, 목적 URL이 어떤 파라미터 값을 포함하고 있는지 식별해야 한다”라고 덧붙였다.

      ▲ 리다이렉트 공격결과

현재 해당 취약점은 국제정보보안센터 14기 수강생인 김명환씨가 Webid 개발자에게 전달했고 이를 전달받은 개발자는 보안성이 향상된 새로운 버전을 개발 중인 것으로 알려졌다.

이번 취약점이 발견된 버전의 사용자는 상위버전이 나오기 전까지 각별한 주의가 필요하며, 보안패치가 되기 전까지 피해가 없도록 신중한 대처가 필요할 것으로 보인다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>