피싱·악의적인 사이트로 리다이렉트 될 수 있는 취약점...조치 완료  

[보안뉴스 김태형] 대형 포털 사이트인 ‘네이버’에서 검증되지 않은 리다이렉션 취약점이 발견됐으며, 현재는 보안조치가 완료된 것으로 나타났다.   

웹 애플리케이션은 사용자들을 다른 페이지로 리다이렉트하는데, 적절한 검증과정을 거치지 않고 실행한다면 사용자들이 피싱사이트나 악의적인 사이트로 리다이렉트 될 수 있어 주의해야 한다.

이번 취약점을 발견한 국제정보보안교육센터(i2Sec부산,대구)의 14기 수강생 김정훈 씨는 “해당 취약점은 네이버 내에서 서비스 이용 시 타 사이트로 연결시켜 주는 과정에서 특정 파라미터의 값을 필터링하지 않아 외부 서버의 URL을 입력하면 해당 URL로 제한 없이 연결되는 취약점”이라면서 “이 취약점을 이용해 공격자는 웹사이트 사용자들을 피싱사이트로 유도해 개인정보 등을 절취할 수 있고, 악성 사이트를 통해 바이러스 또는 웜을 설치하게 할 수 있다”라고 설명했다.

이와 관련 국제정보보안교육센터 측은 “이번 취약점의 해결방안으로는 단순한 리다이렉트의 사용은 피하는 것이 좋고 만약 사용해야 한다면, 목적 URL이 어떤 파라미터 값을 포함하고 있는지 확인 후 처리해야 한다”라고 덧붙였다.

현재 해당 취약점은 국제정보보안센터 14기 수강생인 김정훈 씨가 네이버 측에 직접 전달했으며, 현재는 보안조치가 취해진 것으로 확인됐다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>