세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
대형 포털 3사, 검증되지 않은 리다이렉션 취약점 발견!
  |  입력 : 2013-03-05 15:40
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

HTML 태그 필터링 이루어지지 않아 발생...OWASP 10대 취약점 


[보안뉴스 김태형] 구글, 네이버, 다음 등의 대형 포털사이트에서 검증되지 않은 리다이렉션 보안 취약점 코드가 발견됐다.


이는 국내에서 가장 많이 사용하는 것으로 알려진 대형 포털 사이트 구글, 네이버, 다음의 게시판에 적용되는 검증되지 않은 리다이렉션 보안 취약점으로, 웹사이트의 HTML이 사용 가능한 게시물에 대한 사용자들의 주의가 필요하다.


국제정보보안교육센터(i2sec) 측은 “이번에 발견된 취약점은 국제웹보안표준기구 OWASP 10에서 보고된 ‘검증되지 않은 리다이렉션 및 포워딩’으로 HTML 태그에 대한 필터링이 제대로 이루어지지 않아 발생하는 취약점”이라고 설명했다.


“이에 해당 서비스 사용자는 CSRF, DDoS 악성코드, 웜바이러스, XSS, 배포, 피싱, 하이재킹 공격 등 2, 3차 피해를 입을 수 있어 각별히 주의해야 한다”고 국제정보보안교육센터(i2sec) 측은 덧붙였다.


이번 보안 취약점을 발견한 국제정보보안교육센터(i2sec) 박성진 씨는 “이번에 발견한 검증되지 않은 리다이렉션 취약점은 HTML 태그에 대한 적절한 필터링이 이뤄지지 않아 발생하는 취약점이다. 상황에 따라 CSRF, 하이재킹, DDoS 악성코드, 웜 바이러스 배포로 이어질 수 있어 이용자들은 주의해야 한다”면서 “신속한 조치가 이루어지지 않으면 큰 피해를 입을 수도 있다”고 말했다.


이어서 그는 “구글, 네이버, 다음은 소규모 사이트가 아닌 국제적인 대형 포털 사이트이기에 많은 사람들이 회원으로 가입돼 있고 이용자들 또한 매우 많기 때문에 경각심을 갖고 빠른 대응 조치를 취해야 한다”고 덧붙였다.


이 취약점의 공격시나리오를 살펴보면 다음과 같다.


    

     ▲ 공격시나리오 개요


    

     
      ▲ 구글, 네이버, 다음 등 대형 포털사이트에서 발견된 취약점


취약점 테스트 결과, 검증되지 않은 리다이렉션은 오페라에서만 동작하는 것을 확인했다.


국제정보보안교육센터 측은 “이번 취약점의 해결방안으로는 사용자의 우회 공격이 가능한 태그를 금지하고 구글, 네이버, 다음 측에서 제공하는 에디터를 통해서만 콘텐츠를 링크할 수 있도록 설정하는 방법 등으로 보안을 강화할 수 있다”고 설명했다.


또한 “이러한 취약점에 대한 발빠른 대응을 위해서는 개발사와 화이트 해커 사이의 빠른 피드백이 이루어질 수 있도록 오픈 커뮤니티가 활성화될 필요가 있다”고 국제정보보안교육센터 관계자는 강조했다.


한편, 현재 각 포털사별로 보안권고문을 배포한 상태이며, 패치를 진행 중이다.

[김태형 기자(boan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)