[보안뉴스 김지언] 다양한 상품의 가격비교 및 정보제공 사이트로 유명한 다나와(http://www.danawa.com/) 홈페이지에서 XSS 취약점이 발견돼 보안조치가 필요한 상황이다.

이번 취약점을 발견하고 본지에 제보한 박병욱(경성대학교 컴퓨터공학부) 씨는 “지난 9월 15일 해당 취약점을 발견했고, 해당 사이트에 보안조치를 권고했으나 답변이 없다”며, “상품의견 부분과 Q&A 부분 등 여러 게시판에서 XSS 취약점이 발견됐다”고 상세보고서를 보내왔다.

박씨는 “Q&A 게시판 등에 HTML 인코딩 및 태그 입력에 대한 필터링을 하지 않아 생긴 취약점”이라며, “이로 인해 쿠키 탈취 및 피싱사이트 유도 등 다양한 공격이 가능하다”고 설명했다.

이에 대한 보안대책으로 그는 “게시글 작성 및 상품의견 등록 시 특수 문자(",┖,/,<,>)를 HTML 인코딩해야 하며 필요없는 태그에 대한 필터링, onerror 속성에 대한 필터링, 에디터에 의해 입력되는 태그에 대해 필터링 등이 필요하다”고 밝혔다.

한편, 본지는 해당 취약점에 대한 보안조치가 신속히 이루어질 수 있도록 KISA 측에 관련 내용을 전달한 상태이다.

[김지언 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>