화이트리스트 방식으로 안전한 태그만 허용...현재 패치 배포

[보안뉴스 김태형] 유명 공개 웹 어플리케이션 그누보드 4에서 XSS 취약점이 발견되어 사용자의 주의가 필요하다.

국제정보보안교육센터(i2sec) 4기 수강생 김도현 씨는 “그누보드4에서 XSS 취약점 테스트 결과 취약점이 발견됐다”고 설명했다.

해당 취약점을 통해 공격자는 악의적인 스크립트를 등록해 이를 열람하는 사용자의 브라우저에서 해당 코드가 실행되도록 하거나 웜,바이러스 배포, 사용자 세션정보 탈취, CSRF 공격 등 2차, 3차 피해로 이어질 수 있어 조치가 필요하다.

이와 관련 국제정보보안교육센터 측은 “XSS취약점의 경우 화이트리스트 방식으로 안전한 태그만 허용하는 것으로 보안을 강화할 수 있고 사용자들은 팝업 차단 설정을 생활화해야 하며, 그 외에 정기적 점검 및 보안이 이루어져야 한다”고 강조했다.

해당 취약점은 한국인터넷진흥원(KISA)에 접수되어 그누보드 담당자에게 전달된 상태이며, 현재 패치버전이 배포되고 있다.

해당 패치 버전은 개발자 커뮤니티 홈페이지(http://sir.co.kr/bbs/board.php?bo_table=g4_pds&wr_id=9110)에서 다운로드가 가능하다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>