웹사이트 단순 리다이렉트 사용 피하고 목적지 URL값 검사해야

[보안뉴스 김태형] 설치형 무료 쇼핑몰 솔루션 디엠샵 ver 0.99.30 게시판을 구축해 취약점 테스트를 한 결과 검증되지 않은 리다이렉트 취약점이 발견되어 주의가 필요하다.

국제정보보안교육센터(i2sec) 19기 수강생 최재복 군은 “이 취약점은 웹 어플리케이션에서 다른 페이지로 사용자를 이동시킬 때 신뢰성 없는 데이터를 사용하고 외부 입력값이 링크에 사용되어 이 링크를 이용해 악의적인 사이트로 리다이렉트시키는 취약점으로 게시판에서 HTML 사용을 체크한 후 href 태그를 이용해 공격이 가능하다”고 설명했다.

이에 대해 국제정보보안교육센터 측은 “이번 취약점에 대응하기 위해서는 웹사이트에서 단순한 리다이렉트의 사용을 피해야 하며 목적지 URL이 어떤 값을 포함하고 있는지 검사해야 한다”면서 “또한 전환에 사용되는 값을 화이트리스트로 구별하고, 사용자가 기존 사이트를 벗어나는 등 사이트 전환시 팝업창으로 경고해야 한다”고 전했다.

한편 해당 취약점은 현재 담당자에게 전달된 상태이며, 곧 보안조치가 이뤄질 예정이다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>