피싱사이트나 악의적 사이트로 리다이렉트할 수 있는 취약점

[보안뉴스 김태형] 대형 포털 사이트인 ‘다음’에서 검증되지 않은 리다이렉션 취약점이 발견되어 사용자들의 주의가 요구된다.

검증되지 않은 리다이렉트와 포워드(Invalidated Redirects and Forwards)는 국제웹보안표준기구인 ‘OWASP Top 10’에 명시된 주요 보안위험에 해당하는 공격기법이다.

      ▲ 리다이렉트 공격화면

웹 애플리케이션은 종종 사용자들을 다른 페이지로 리다이렉트 하는데, 적절한 검증과정을 거치지 않고 실행한다면 사용자들이 피싱사이트나 악의적인 사이트로 리다이렉트 할 수 있어 주의해야 한다.

이번 취약점을 발견한 국제정보보안교육센터(i2Sec부산,대구)의 16기 수강생 박훈용 씨는 “이 취약점을 이용해 공격자는 웹사이트 사용자들을 피싱사이트로 유도해 개인정보 등을 절취할 수 있고 악성사이트로 유도해 바이러스 또는 웜을 설치하게 할 수 있다”라고 설명했다.

이에 대해 국제정보보안교육센터 측은 “이번 취약점의 해결방안으로는 단순히 리다이렉트의 사용을 피하는 것이 좋고 만약 사용해야 한다면, 목적 URL이 어떤 파라미터 값을 포함하고 있는지 식별해야 한다”라고 덧붙였다.

      ▲ 리다이렉트 공격결과

현재 해당 취약점은 국제정보보안센터 16기 수강생인 박훈용 씨가 고객센터를 통해 다음 측에 전달했으며 다음은 보안성이 향상된 새로운 버전을 개발 중인 것으로 알려졌다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>