국내 PHP 기반의 공개 웹 게시판인 익스프레스 엔진에서 크로스사이트스크립팅 (XSS, Cross-Site Scripting) 취약점이 발견됐다.
 
게시판 최신버전인 1.7.1.1 버전에서, 글을 쓸 때 제목에 스크립트를 삽입하고 작성글 보기를 클릭하게 되면 스크립트가 실행되는 형태이다.

인포섹 전략관제본부 김정혁 대리, 모의해킹팀 박종환 사원에 의해 발견된 이 XSS 취약점은
악성 스크립트 구문을 통해 사용자 및 관리자의 세션 값 획득 및 악성 페이지로 리다이렉트 시킴으로써 악성코드를 유포하거나 개인정보를 갈취하는 등의 피해를 입힐 수 있다.

이번 취약점을 발견한 인포섹 관제사업본부 김정혁 대리, 모의해킹팀 박종환 사원은 해당 취약점은 “XE에서 모든 사용자의 입력값에 대한 보안 코드 부재로 인해 발생된 취약점”이라며 “관리자들은 신속한 패치 다운로드 및 모든 입력값에 대한 검증을 철저히 수행해야 한다. 또 사용자들은 확인되지 않은 주소링크를 통해 게시판에 직접 접근하지 않도록 주의하는 한편, 익스플로러 옵션의 팝업차단 사용 및 인터넷 옵션의 개인정보 설정을 ‘높음’ 레벨로 조정해 피해를 예방해야 한다”고 설명했다.

2012년에도 익스프레스 엔진 1.5.3.3 이하 버전에서 동작하는 유사한 XSS 취약점이 인포섹에 의해 발견되어 조치했으나, 1년여 만에 다시 발견되었다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com