국내 유명 파일공유사이트(P2P)에서 쿠키 값 변조를 통한 XSS 취약점이 발견돼 사용자들의 각별한 주의가 필요하다.
크로스 사이트 스크립팅(cross-site scripting, XSS)은 웹 애플리케이션에서 주로 나타나는 취약점의 하나로 웹사이트 관리자가 아닌 자가 웹 페이지에 악성 스크립트를 삽입할 수 있는 취약점이다.
주로 여러 사용자가 보게 되는 전자 게시판에 악성 스크립트가 담긴 글을 올리는 형태로 이루어진다. 이 취약점은 웹 애플리케이션이 사용자로부터 입력 받은 값을 제대로 검사하지 않고 사용할 경우 나타난다.
이 취약점으로 해커는 사용자의 쿠키, 세션 등을 탈취하거나, 자동으로 비정상적인 기능을 수행하게 할 수 있어 주의해야 한다.
이번 취약점을 데일리시큐에 제보한 이승민씨(2TheT0P's Bro)에 따르면 “쿠키 값을 디코딩한 결과 USERID 번호가 노출되고 그것을 활용해 무작위로 타인 아이디에 접근이 가능하다. modifyPwd.php,login_Check.php의 SQL Injection 취약점이 발견될시 이 번호를 개인정보추출에 악용할 수 있어 주의해야 한다”고 당부했다.
또한 "웹 애플리케이션이 사용자로부터 입력 받은 값을 제대로 검사하지 않고 사용할 경우 나타나며 해커가 사용자의 정보를 탈취하거나 판매자의 적립금등을 마음대로 인출할 수 있다"고 경고했다.
한편 "비밀번호 DB가 뚫릴 경우 아이디를 e-mail 주소로 기입하는 사이트 특성상 또 다른 2차적인 피해도 우려된다"고 밝혔다.
제보자 이씨는 "이런 사이트는 만기 값 설정이 되지 않은 것이 가장 큰 문제"라고 지적하고 "관리자는 세션 값을 더욱 안전한 암호로 해야 한다"고 강조했다.
이에 데일리시큐는 제보자를 만나 해당 사이트의 취약점에 대해 영상으로 취재해 보도한다.
<★보안취약점 제보는 언제나 데일리시큐!★>
데일리시큐 장성협 기자 shjang@dailysecu.com