Home > 전체기사
국내 유명 웹게시판에서 관리자 계정 탈취 취약점 발견!
  |  입력 : 2012-01-26 18:59
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
제로보드XE-테크노트7에서 플래시 이용한 XSS취약점 발견돼


[보안뉴스 오병민] 국내 홈페이지 제작에 많이 이용되고 있는 웹게시판 프로그램인 ‘제로보드XE’와 ‘테크노트7’에서 공격자에게 관리자의 계정을 허용할 수 있는 취약점이 발견돼 주의가 요구되고 있다. 현재 해당 취약점은 국가사이버안전센터에 신고 접수돼 개선이 진행 중이다.


발견된 취약점은 플래시의 보안허점을 이용해 XSS(Cross-site scripting) 공격을 허용할 수 있는 것으로, 웹 서비스 상에서 사용자로부터 입력받은 값을 검증하지 않고 그대로 사용할 경우 나타나는 웹 취약점이다.


이 취약점을 이용하면 사용자의 인터넷 연결정보(쿠키, 세션)를 탈취할 수 있기 때문에 관리자나 다른 사용자의 연결정보를 가로채 재전송함으로써 관리자나 다른 사용자로 로그인할 수 있다. 즉, 관리자로 로그인한 상태에서 XSS 공격이 시도되면 관리자로 로그인 할 수 있는 것.


이 취약점은 XSS가 실행되는 악성코드가 삽입된 플래시가 실행돼야 공격이 가능하다. 그런데 테크노트7의 경우에는 관리자로 로그인 상태에서도 게시글을 열람할 때 플래시가 실행돼 쉽게 공격이 가능한 것으로 확인됐다. 그러나 제로보드XE의 경우에는 관리자로 로그인한 상태에서 게시글을 열람할 때는 플래시가 실행되지 않아 일반적인 상황에서는 공격이 성공이 어려운 것으로 파악됐다.


그러나 게시글 작성시 글쓰기 웹에디터에서는 플래시가 실행되기 때문에 공격자가 관리자에게 쪽지로 글쓰기 편집상태의 주소를 보내 열람하게 하면 XSS 공격이 가능한 것으로 확인됐다.


이 취약점을 발견해 신고한 박세욱(18세, 남) 씨는 “해당 취약점에 노출되지 않기 위해서는 플래시 실행시 특정 스크립트가 실행되지 않도록 게시물 작성 전 플래시 태그의 ‘AllowScriptAccess’를 ‘never’로 설정해야 한다”고 당부했다.

[오병민 기자(boan4@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)