게시판 필터링 되고 있지만 특정 태그 이용한 취약점 존재

[보안뉴스 김태형] 국내 PHP 기반의 공개 웹 게시판인 ‘위즈몰 6.5.4버전’에서 XSS 제로데이 취약점이 발견되어 이용자들의 주의가 필요하다.

이번 취약점을 발견한 국제정보보안교육센터(i2sec) 18기 수강생 최연 군은 “XSS 취약점 테스트 결과, 게시판에 필터링이 이루어지고 있지만, ‘<input type>, <img>’ 태그를 이용한 XSS 취약점이 발견됐다”고 설명했다.

이러한 경우 공격자가 악의적인 스크립트를 등록, 이를 열람하는 사용자의 브라우저에서 해당 코드가 실행되도록 하거나 웜, 바이러스 배포, 사용자 세션정보 탈취, CSRF 공격 등 2차, 3차 피해로 이어질 수 있다.

국제정보보안교육센터 측은 “XSS취약점에 대응하기 위해서는 html을 지원하지 않거나 html 화이트리스트 방식으로 공격성이 짙은 해당 태그를 필터링해야 한다”고 강조했다.

한편, 해당 취약점은 현재 개발사 담당자에게 전달돼 패치작업을 진행하고 있으며, 보완조치가 곧 완료될 예정이다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>