화이트리스트 방식으로 안전한 태그만 허용·팝업 차단해야

[보안뉴스 김태형] 글로벌 웹 어플리케이션 워드프레스(Wordpress) 3.8.1 버전 XSS 취약점이 발견되어 주의가 필요하다.

국제정보보안교육센터(i2sec) 19기 수강생 염민룡 군은 “Wordpress 3.8.1 버전에서 XSS 취약점 테스트 결과 Posts, Pages 메뉴 제목란에서 XSS 취약점이 발견됐다”고 설명했다.

이러한 경우 공격자가 악의적인 스크립트를 등록해 이를 열람하는 사용자의 브라우저에서 해당 코드가 실행되도록 하거나 웜·바이러스 배포, 사용자 세션정보 탈취, CSRF 공격 등 2차, 3차 피해로 이어질 수 있어 조치가 필요하다.


▲ 워드프레스 3.8.1 버전에서 XSS 취약점 테스트 결과 XSS 실행이 가능했다.


 
이에 대해 국제정보보안교육센터 측은 XSS취약점의 경우 화이트리스트 방식으로 안전한 태그만 허용하는 것으로 보안을 강화할 수 있고 사용자들은 팝업 차단 설정을 생활화해야 하며, 그 외에 정기적 점검 및 보안이 이루어져야 한다고 밝혔다.

한편 해당 취약점은 현재 담당자에게 전달된 상태이며, 조속히 조치가 이루어질 예정이다.
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>