HTML 태그 필터링 기능의 패치 작업 필요

[보안뉴스 김태형] 국내 PHP 기반의 공개 웹 게시판인 위즈몰 6.5.5버전 게시판에서 CSRF(Cross Site Request Forger) 취약점이 발견되어 주의가 필요하다.   

국제정보보안교육센터(i2sec) 18기 수강생 지민건 군은 “위즈몰 6.5.5버전 게시판을 구축해 취약점 테스트를 한 결과 CSRF 취약점을 발견했다”고 설명했다.

이번 테스트는 CSRF 공격코드가 삽입되어 있는 타 게시판 게시글의 링크 주소를 확인한 뒤, 위즈몰 게시판에 <embed>태그를 이용해 링크 주소를 삽입하고 이 때 hidden=”true”를 추가했다는 게 센터 측의 설명이다. 이로 인해 다른 사용자가 글을 열람해도 공격 당한지 알 수 없으며, 사용자의 회원정보 및 포인트 등이 변경 가능한 것을 확인할 수 있었다는 것.  

국제정보보안교육센터 측은 “CSRF 취약점에 대응하기 위한 방안으로 모든 FORM/URL에서 요청할 때에 임의 토큰을 추가해 요청시 이 토큰을 검증하고 중요한 페이지는 재인증을 유도해야 하며 또한 HTML 태그 필터링 기능의 패치 작업을 수행해야 한다”고 전했다.

한편, 해당 취약점들은 현재 홈페이지를 운영하는 회사 측에 전달된 상태이며, 보안조치가 곧 마무리될 예정이다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>