취약점 통해 공격자가 피싱과 파밍에 악용할 수 있어
네이버 “해당 취약점은 클릭재킹 보안이슈로 취약점 조치 완료”
[보안뉴스 김경애] 네이버 블로그 글쓰기 기능상의 취약점으로 인해 자칫하면 사이버범죄자들의 피싱 및 파밍 행위에 악용될 수 있었던 것으로 드러났다. 글쓰기 기능 중 필터링 되지 않은 CSS(Cascading Style Sheets)를 이용한 XSS 취약점 공격이 발견됐다. 현재는 네이버 측의 조치가 이루어진 상태다.
▲ 테스트용으로 만든 XSS 취약점이 존재하는 임의의 사이트에서 실험한 화면 1.
CSS는 html에서 주로 사용되는 언어로, 사이트의 레이아웃을 잡아줄 때 주로 사용되며, 관련된 스크립트가 브라우저를 통해 표현된다.
네이버 블로그의 글쓰기에서는 html 태그의 style 속성(CSS)중 position:fixed;를 필터링해 없애 준다. 하지만 네이버 글쓰기 html 태그 속성에서 소문자인 position:fixed;를 대문자인 POSITION:fixed;와 같이 바꿔주면 필터링이 되지 않아 속성이 그대로 적용됐던 것.
지난 20일 본지에 이를 제보한 이원평군은 “이 취약점을 악용할 경우 해커가 원하는 사이트로 접속되도록 조작할 수 있다”며 “IE, 크롬, 파이어폭스, 오페라 등의 웹브라우저에서 테스트 해봤는데, 대부분의 브라우저에서 작동하기 때문에 주의해야 한다”고 당부했다.
이에 대해 25일 네이버 관계자는 “해당 취약점은 클릭재킹 보안 이슈로 HTML 작성이 가능한 서비스들에서는 흔히 발생할 수 있다”며 “자사의 각 서비스에서는 이러한 시도를 기술적으로 대응하고 있으며, 제보자는 당사 블로그 서비스에서 대응 시스템의 우회포인트를 잘 발견한 것 같다. 해당 내용은 개발부서로 전달되어 신속히 보완될 예정”이라는 입장을 밝혔다. 또한, 네이버의 타 서비스들에서는 이와 같은 우회포인트가 없다고 덧붙였다.
클릭재킹(Clickjacking)은 사용자가 의도하지 않은 기능을 클릭하게 유도해 광고수입이나 기타 어뷰징을 수행하도록 할 수 있다. 어뷰징 용도 뿐만 아니라 메일 등을 전송해 악성코드 유포지로 이동시키는 방식으로도 활용이 가능하다.
▲ 테스트용으로 만든 XSS 취약점이 존재하는 임의의 사이트에서 실험한 화면 2.
이를 분석한 노브레이크 박찬주 수석 컨설턴트는 “CSS를 이용한 XSS 공격”이라며 “CSS 필터링 되지 못한 코드를 이용해 클릭재킹형 코드를 작성해 둔 것”이라고 설명했다.
이어 박찬주 수석 컨설턴트는 “테스트용으로 만든 XSS 취약점이 존재하는 임의의 사이트에 코드를 넣어 실험한 결과 해당 취약점을 이용해 얼마든지 다른 사이트로 옮길 수 있었다”며 “피싱과 파밍 과정에 악용할 수도 있고, 악성코드를 유포할 수도 있는 등 사용자에게 영향을 끼칠 수 있다”고 설명했다.
해결방안과 관련해 그는 “행자부에서 발표한 ‘주요정보통신기반시설 기술적 취약점 분석평가 방법 상세가이드’를 참고(523P)해 불필요한 키워드를 필터링해야 한다”고 당부했다.
[김경애 기자(boan3@boannews.com)]
네이버 “해당 취약점은 클릭재킹 보안이슈로 취약점 조치 완료”
[보안뉴스 김경애] 네이버 블로그 글쓰기 기능상의 취약점으로 인해 자칫하면 사이버범죄자들의 피싱 및 파밍 행위에 악용될 수 있었던 것으로 드러났다. 글쓰기 기능 중 필터링 되지 않은 CSS(Cascading Style Sheets)를 이용한 XSS 취약점 공격이 발견됐다. 현재는 네이버 측의 조치가 이루어진 상태다.
▲ 테스트용으로 만든 XSS 취약점이 존재하는 임의의 사이트에서 실험한 화면 1.
CSS는 html에서 주로 사용되는 언어로, 사이트의 레이아웃을 잡아줄 때 주로 사용되며, 관련된 스크립트가 브라우저를 통해 표현된다.
네이버 블로그의 글쓰기에서는 html 태그의 style 속성(CSS)중 position:fixed;를 필터링해 없애 준다. 하지만 네이버 글쓰기 html 태그 속성에서 소문자인 position:fixed;를 대문자인 POSITION:fixed;와 같이 바꿔주면 필터링이 되지 않아 속성이 그대로 적용됐던 것.
지난 20일 본지에 이를 제보한 이원평군은 “이 취약점을 악용할 경우 해커가 원하는 사이트로 접속되도록 조작할 수 있다”며 “IE, 크롬, 파이어폭스, 오페라 등의 웹브라우저에서 테스트 해봤는데, 대부분의 브라우저에서 작동하기 때문에 주의해야 한다”고 당부했다.
이에 대해 25일 네이버 관계자는 “해당 취약점은 클릭재킹 보안 이슈로 HTML 작성이 가능한 서비스들에서는 흔히 발생할 수 있다”며 “자사의 각 서비스에서는 이러한 시도를 기술적으로 대응하고 있으며, 제보자는 당사 블로그 서비스에서 대응 시스템의 우회포인트를 잘 발견한 것 같다. 해당 내용은 개발부서로 전달되어 신속히 보완될 예정”이라는 입장을 밝혔다. 또한, 네이버의 타 서비스들에서는 이와 같은 우회포인트가 없다고 덧붙였다.
클릭재킹(Clickjacking)은 사용자가 의도하지 않은 기능을 클릭하게 유도해 광고수입이나 기타 어뷰징을 수행하도록 할 수 있다. 어뷰징 용도 뿐만 아니라 메일 등을 전송해 악성코드 유포지로 이동시키는 방식으로도 활용이 가능하다.
▲ 테스트용으로 만든 XSS 취약점이 존재하는 임의의 사이트에서 실험한 화면 2.
이를 분석한 노브레이크 박찬주 수석 컨설턴트는 “CSS를 이용한 XSS 공격”이라며 “CSS 필터링 되지 못한 코드를 이용해 클릭재킹형 코드를 작성해 둔 것”이라고 설명했다.
이어 박찬주 수석 컨설턴트는 “테스트용으로 만든 XSS 취약점이 존재하는 임의의 사이트에 코드를 넣어 실험한 결과 해당 취약점을 이용해 얼마든지 다른 사이트로 옮길 수 있었다”며 “피싱과 파밍 과정에 악용할 수도 있고, 악성코드를 유포할 수도 있는 등 사용자에게 영향을 끼칠 수 있다”고 설명했다.
해결방안과 관련해 그는 “행자부에서 발표한 ‘주요정보통신기반시설 기술적 취약점 분석평가 방법 상세가이드’를 참고(523P)해 불필요한 키워드를 필터링해야 한다”고 당부했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
