2024-06-13 12:10 (목)
쇼핑몰 템플릿 위즈몰, BLIND SQL인젝션 취약점 발견!
상태바
쇼핑몰 템플릿 위즈몰, BLIND SQL인젝션 취약점 발견!
  • 길민권
  • 승인 2012.01.09 18:50
이 기사를 공유합니다

단어 사이에 단어를 넣으면 우회 가능한 것으로 분석…패치필요!
국내 유명 쇼핑몰 템플릿 ‘위즈몰’에 BLIND SQL 삽입 취약점이 발견되어 이용자들의 주의가 요구된다. 
 
해당 취약점에 대해 문제 제기한 부산해킹보안교육센터(i2Sec) 수강생 신현우씨는 “분석해 본 결과, 소스코드에서 preg_replace 함수가 특정 단어만 두 번째 인자 “”으로 바꿔버리는 기능을 한다. 그러므로 ‘ascii’을 ‘aasciiscii’ 식으로 단어 사이에 단어를 넣으면 우회가 가능한 것으로 분석됐다”고 밝혔다.


 
 
해당 취약점은 ascii, substr, database 등 이런한 특정 단어 필터링을 우회할 수 있다는 것이다.
 
보안 대책으로는 reg_replace 함수의 두 번째 인자 값으로 “” 대신 다른 문자를 넣는 방법이다. 즉 특정 단어를 제거해버리는 것이 아니라 다른 문자로 대체해서 보안해야 한다.


 
이용자들은 해당 사이트(www.shop-wiz.com/board)에서 보안패치를 다운로드 후 적용해 취약점을 악용한 공격에 대비해야 한다.
[데일리시큐=길민권 기자]
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★