html 화이트리스트 방식으로 필터링해야

[보안뉴스 김태형] 국내 유명 쇼핑몰 솔루션 위즈몰 6.6.6버전에서 XSS 취약점이 발견되어 이용자들의 주의가 필요하다.

이번 취약점을 발견한 국제정보보안교육센터(i2sec) 20기 수강생 조용준 군은 “국내 PHP기반의 공개 웹게시판인 위즈몰 6.6.6버전 XSS 취약점을 분석해본 결과, 현 보안 필터링은 IMG 태그에 쿼터, 싱글쿼터, 콜론, 공백문자를 삽입 시 IMG태그안의 코드를 모두 지우고 ‘IMG’ 태그로 치환하는 것으로 추측된다”면서 “‘IMG SRC=문자열’로 삽입 시 ‘IMG SRC="문자열"’로 문자열 부분을 쿼터로 감싸는 것을 확인할 수 있고, 이것을 이용해 우회코드를 작성하면 문자열이어서 그림을 읽지 못하기 때문에 onerror로 넘어가 공격을 실행할 수 있게 된다”고 설명했다.

이에 대해 국제정보보안교육센터 측은 “이번 XSS 취약점에 대응하기 위해서는 html을 지원하지 않거나 html 화이트리스트 방식으로 공격성이 짙은 해당 태그를 필터링해야 한다”고 말했다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>