‘form’ 태그의 ‘action’ 속성을 이용한 XSS 취약점 발견!

[보안뉴스 김태형] 국내 PHP 기반의 구축형 공개 웹 어플리케이션인 그누보드에 XSS(Cross Site Scripting) 보안취약점이 발견되어 해당 사용자들의 주의가 필요하다.

이번에 발견된 취약점은 ‘form’ 태그의 ‘action’ 속성을 이용한 XSS 취약점으로 HTML 태그에 대한 필터링이 제대로 이루어지지 않아 발생하는 것이다. 이에 해당 서비스 사용자는 CSRF, 하이재킹, 세션 수집, 피싱, 웜&바이러스 배포 공격 등 2, 3차 피해를 입을 수 있어 각별히 주의해야 한다.

이러한 보안취약점을 발견한 국제정보보안교육센터(i2sec) 박성진 씨는 “이번에 발견한 XSS 취약점은 데이터를 입력하는 부분에서 발생하는 취약점이다. 즉, 메시지 입력 부분, 방명록, 댓글, 등을 남기기 위해 사용자가 입력하면 사용자의 정보가 공격자의 PC에 저장된다”고 설명했다.

공격자는 FORM 필드부분에 악성스크립트를 저장한 후 사용자가 게시글에 데이터를 남기게 되면 취약점이 발생하는 것이다.

그는 “이 취약점은 적절한 필터링이 이뤄지지 않아 발생하는 취약점으로 상황에 따라 CSRF, 하이재킹, 악성코드 배포로 이어질 수 있어 주의해야 한다”면서 “현재 개발사 측에서 보안패치를 배포 중”이라고 덧붙였다.

이어 그는 “그누보드4 무료 구축형 홈페이지는 국내 보드 중  많은 이용자가 사용중이기 때문에 경각심을 갖고 빠른 대응 조치를 취해야 한다”고 덧붙였다. 이번 XSS 취약점을 살펴보면 아래와 같다.

[그림 1]과 같이 해당 스크립트를 입력한 후 게시물을 등록할 수 있다.

        [그림 1]

[그림 2]의 해당 게시물에 댓글을 입력하게 되면 사용자의 정보는 고스란히 공격자의 PC로 전송된다. 개인정보가 유출될 때 눈으로 확인이 불가능하기 때문에 사용자는 속수무책으로 당할 수 밖에 없다. 그러므로 관리자는 빠른 시일내 보안패치를 진행해야 한다.
       
      [그림 2]

[그림 3]의 관리자 또는 사용자가 댓글을 입력했을 경우 공격자의 PC에 사용 날짜, 시간, 사용자의 정보가 저장된다.

          [그림 4] Explorer 9

[그림 4]와 같이 공격자의 PC에서 수집한 정보를 이용하여 일반 사용자에서 최고관리자(admin)으로 변경된 것을 확인할 수 있었다.

   

    [그림 5] Explorer 9

국제정보보안교육센터 측은 “이번 취약점의 해결방안으로는 사용자의 우회 공격이 가능한 태그를 금지하고 HTML에 취약한 특수문자들을 필터링하거나 URL 인코딩을 이용해 자동방지 스크랩 기능을 추가하는 방안을 세워야 한다”고 밝혔다.

이러한 취약점에 대한 발빠른 대응을 위해서는 개발사와 화이트 해커 사이의 빠른 피드백이 이루어질 수 있도록 오픈 커뮤니티가 활성화될 필요가 있다는 게 국제정보보안교육센터 측의 설명이다.  
해당 취약점 패치는 그누보드 4 홈페이지(http://sir.co.kr/bbs/board.php?bo_table=g4_pds&wr_id=6782)를 통해 가능하다.
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>