글쓰기 게시판 우회패턴 취약점 발견...뽐뿌 “취약점 업데이트 완료”

[보안뉴스 김태형] 온라인 커뮤니티 사이트 뽐뿌(www.ppomppu.co.kr)의 글쓰기 게시판에서 XSS(Cross-Site Scripting) 취약점이 발견되어 이용자들의 주의가 필요하다.

이번 취약점을 발견한 경성대학교 서상헌 군은 “이번에 발견된 XSS 취약점의 경우 기본적인 스크립트는 막혀 있었으나, 각종 우회패턴에서 취약점이 발생했다. XSS 취약점의 경우 다양한 우회패턴이 존재한다”면서 “이 취약점을 막기 위해서는 우회패턴에 대한 빠르고 신속한 업데이트가 필요하다”고 설명했다.

또한, 그는 “뽐뿌 웹사이트는 현재 140만명이 넘는 가입자 수를 확보하고 있으며, 각종 물품 거래에 이용되는 사이트인 만큼 보안에 각별한 주의가 필요하다”고 강조했다.

이 취약점은 사이트 게시판에 XSS 글 작성 후, 이를 업로드하면 스크립트가 실행되는지 확인해보면 검증할 수 있다. 공격자는 이 취약점을 이용해 이용자들을 악의적인 목적의 웹서버로 연결시켜 악성코드를 전송하거나 쿠키값 등 개인정보를 유출할 수 있다.

서상헌 군은 “이 문제를 해결하기 위해서는 스크립트에 사용되는 특수문자에 대한 화이트리스트 방식으로 등록하거나 팝업을 차단해야 한다. 그리고 HTML 자체를 차단해 공격을 시작부터 방어할 수 있다”라고 말했다.

또한, 그는 “해당 취약점에 대한 보고서를 뽐뿌 측에 전달했으며 뽐뿌 측으로부터 해당 부서와 협조해 일부 패턴을 제외한 나머지는 모두 수정을 완료했다는 답변을 받았다”고 덧붙였다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>