리그오브레전드(LOL) 홈페이지 게시판에 XSS 취약점이 발견돼 보안조치가 필요한 상황이다.
 
해당 취약점을 발견하고 데일리시큐에 제보한 박병욱(경성대학교 컴퓨터 공학부)씨는 “게시글에 input 태그와 onerror 속성을 이용한 XSS 공격이 가능하다”며 “취약점 패치가 되어야 안전할 것”이라고 권고했다.
 
해당 취약점에 대한 보안대책으로 그는 “게시글 작성시 특수문자들을 HTML 인코딩 해야 하고 input 태그 등 게시글에 필요없는 태그 존재시 다른 대체 필터링이 필요하며 onerror 속성에 대한 필터링도 필요하다”고 밝혔다.
 
데일리시큐는 해당 취약점을 KISA에 전달해 신속한 보안패치가 이루어질 수 있도록 할 예정이다.

XSS(Cross-site scripting)취약점은 스크립트를 삽입해 웹에서 순수하게 제공되는 동작 외에 부정적으로 발생하는 액션을 말하며 SQL 인젝션 공격과 함께 가장 위험성이 높은 취약점으로 국제 웹보안 표준기구 ‘OWASP’에서 경고하는 10대 웹 보안취약점에서 수위를 차지하고 있어 주의를 기울여야 하는 취약점으로 알려져 있어 주의해야 한다. 
 
데일리시큐 길민권 기자 mkgil@dailysecu.com