SECURITY

SAFETY

Home > 전체기사

트위터 XSS 취약점 발견, “조심 또 조심”

입력 : 2010-06-30 10:42

‘애플리케이션 이름’ 필드값에 입력값 검증 하지 않아

[보안뉴스 호애진] 트위터에 사용자 계정을 가로채거나 악성코드를 유포시킬 수 있는 XSS(Cross-site Scripting) 취약점이 발견됐다.

‘H4x0r-x0x’로 알려진 인도네시아의 보안연구원이 해당 취약점을 발견하고 자신의 트위터 계정을 이용해 이를 입증해 보였다.

그의 블로그에 따르면 이 취약점은 주로 트위터에서 개발자들이 사용하는 애플리케이션 등록 페이지의 ‘애플리케이션 이름’ 필드값에 입력값 검증을 하지 않아 발생하는 것으로 나타났다.

현재까지 이 취약점을 이용한 피해는 확인되지 않았으나 사이버 범죄자들이 이를 이용해 악성 자바스크립트 코드를 트위터 페이지에 삽입할 수 있다는 점이 문제로 제기되고 있다.

악성 자바스크립트 코드가 심어진 프로필을 방문하기만 해도 계정을 쉽게 탈취할 수 있으며 이는 보안이 취약한 웹사이트를 매개체로 사용한 일종의 웹사이트 웜을 이용해 삽시간에 광범위하게 전파시킬 수 있기 때문이다.

트위터 대변인은 “해당 문제를 인지하고 새로 등록되는 애플리케이션부터는 이 문제를 수정했지만 계속해서 등록된 모든 프로그램에 대해 확인하는 작업을 진행하고 있다”고 밝혔다.

[호애진 기자(is@boannews.com)]

등록번호 : 서울 아00181 | 등록/발행연월일 : 2006년 3월 17일 | 상호 : (주)더비엔 | 사업자등록번호 : 407-86-00506 | 대표 : 최정식, 최소영

주소 : 서울시 마포구 마포대로 25 (마포동, 신한디엠빌딩 13층) (우. 04167) | 전화 : 02-719-6931 | 팩스 : 02-715-8245 | E-mail : helpdesk@boannews.com

「열린보도원칙」 당 매체는 독자와 취재원 등 뉴스이용자의 권리 보장을 위해 반론이나 정정보도, 추후보도를 요청할 수 있는 창구를 열어두고 있음을 알려드립니다.
고충처리인 권 준(editor@boannews.com)

최근 발생한 크라우드 스트라이크의 보안 SW 업데이트 오류 사태처럼 SW 공급망에 보안이슈가 발생할 경우 관련된 각종 시스템 및 IT 인프라 마비가 일어날 수 있다는 게 드러났습니다. 이러한 공급망 보안을 위협하는 가장 큰 요인은 무엇이라고 생각하시나요?
	랜섬웨어, 피싱 등의 사이버 공격
	SW 업데이트 및 SW 교체 과정에서의 오류
	SW 자체에 존재하는 보안 취약점
	시스템 관리자의 운영상 실수 및 관리 미흡
	기타(댓글로)