| 다음 블로그, XSS 취약점 조치 완료 | 2014.06.20 | ||
화이트리스트 방식으로 안전한 태그만 허용해야 [보안뉴스 김태형] 다음 블로그에서 간단한 우회로 XSS 공격이 가능한 취약점이 패치됐다. 국제정보보안교육센터(i2sec) 20기 수강생 조용준 군은 “다음 블로그에서 XSS 취약점 테스트 결과, 필터링이 이루어지고 있지만 간단한 우회시도로 XSS 실행이 가능한 취약점이 발견됐다”고 설명했다. XSS 취약점은 스크립트를 삽입하여 웹 애플리케이션에서 순수하게 제공되는 동작 외에 공격자의 악의적 동작 실행이 가능한 취약점이다. 조용준 군은 “이러한 경우 공격자가 악의적인 스크립트를 등록, 이를 열람하는 사용자의 브라우저에서 해당 코드가 실행되도록 하거나 웜, 바이러스 배포, 사용자 세션정보 탈취, CSRF 공격 등 2차, 3차 피해로 이어질 수 있어 위험하다”고 강조했다.
▲ XSS 실행 가능 [김태형 기자(boan@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|||
 |
