에누리닷컴 취약점...웹서버 주요 설정파일 및 DB파일 다운로드 가능

[보안뉴스 김태형] 온라인 가격비교 사이트 에누리에서 파일 다운로드(File Download) 취약점이 발견되어 이용자들의 주의가 필요하다.

국제정보보안교육센터(i2sec) 20기 수강생 김승현 군은 “가격비교 사이트 에누리에서 파일 다운로드 취약점을 발견했다”고 설명했다.

이 파일 다운로드 취약점은 상위 디렉터리를 요청해 시스템 파일 및 웹 소스파일을 전송 받을 수 있는 취약점이다.

김 군은 “이 취약점은 다운로드할 때 전송되는 파라미터 값과 경로가 있는지 확인하고 상대 경로를 이용해 자기가 입력 받고 싶은 경로 및 파일명을 입력해 파일을 다운로드 한다”고 말했다.

이용자들은 웹 서버에 접속해서 해당 사이트를 볼 수 있는데, 공격자가 이 파일 다운로드 취약점을 이용하면 웹서버의 모든 파일들을 자신의 PC로 다운로드 할 수 있다. 이로 인해 해당 웹 서버의 중요한 설정파일이나 DB파일 등을 공격자들이 손에 넣을 수 있기 때문에 매우 위험하다는 것.

한편 해당 취약점은 현재 사이트 담당자에게 전달된 상태이며, 조치가 이루어질 예정이다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>