HTML 태그에 대한 필터링 제대로 이루어지지 않아 발생

[보안뉴스 김태형] 국내 대형 포털 사이트 다음 블로그에서 XSS 취약점이 발견되어 이용자들의 주의가 필요하다.



▲ 다음 블로그에서 XSS 실행이 가능한 화면
이번 취약점을 발견한 국제정보보안교육센터(i2sec) 19기 수강생 김현수 군은 “XSS 취약점 테스트 결과 게시판에 필터링이 이루어지고 있지만, 간단한 우회 시도로 XSS 취약점이 발견됐다”고 설명했다.

이번에 발견된 취약점은 HTML 태그에 대한 필터링이 제대로 이루어지지 않아 발생하는 취약점으로 해당 서비스 사용자는 CSRF, 악성코드 배포, 하이재킹 공격 등 2, 3차 피해를 입을 수 있어 각별히 주의해야 한다.

국제정보보안교육센터 측은 ”XSS취약점의 경우 화이트리스트 방식으로 안전한 태그만 허용하는 것으로 보안을 강화할 수 있다. 사용자들은 팝업 차단 설정을 생활화해야 하며, 그 외에 정기적 점검 및 보안이 이루어져야 한다”고 설명했다.

특히 다음은 대형 포털 사이트로 많은 사람들이 회원으로 가입되어 있고 이용자들도 많기 때문에 경각심을 갖고 신속하게 대응조치를 취해야 한다. 현재 해당 취약점은 고객센터를 통해 사이트 담당자에게 전달된 상태다.

한편, 이번 다음 취약점과 관련해 이미 1년 전 보안전문가인 박찬주  씨(블로그 및 카페 부분)와 Auditor Lee 씨(메일 부분)가 발견해 다음 측에 통보했지만, 1년이 지난 현재까지도 아직 수정이 되지 않은 상태인 것으로 드러나 다음 측의 신속한 대응이 요구되고 있다.
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>