Home > Àüü±â»ç

WordPress CSRF Á¦·Îµ¥ÀÌ Ãë¾àÁ¡ ¹ß°ß!

ÀÔ·Â : 2013-01-15 16:05
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

Àü ¼¼°è¿¡¼­ °¡Àå ¸¹ÀÌ ¾²´Â CMS Åø...±¹³» À¥»çÀÌÆ®µµ ´ëºÎºÐ Àû¿ë

°³¹ß»ç º¸¾ÈÄÚµå Ãß°¡Çؾß...»ç¿ëÀڴ À¥»çÀÌÆ® °ü¸® ¸¸Àü ±âÇؾߠ


[º¸¾È´º½º ±èÅÂÇü] php ½ºÅ©¸³Æ®·Î ±¸µ¿µÇ´Â ¿ÀǼҽº ºí·Î±× ¼Ö·ç¼ÇÀÎ ¡®WordPress¡¯¿¡ CSRF Ãë¾àÁ¡ÀÌ ¹ß°ßµÇ¾î »ç¿ëÀÚµéÀÇ ÁÖÀÇ°¡ ÇÊ¿äÇÏ´Ù.


±¹Á¦Á¤º¸º¸¾È±³À°¼¾ÅÍ(ÀÌÇÏ I2SEC)´Â Àü ¼¼°èÀûÀ¸·Î ¸¹ÀÌ »ç¿ëµÇ´Â CMS(Content Management System)·Î ¾Ë·ÁÁ® ÀÖ´Â WordPress¿¡ CSRF Ãë¾àÁ¡ÀÌ ¹ß°ßµÆ´Ù°í ¹àÇû´Ù.


WordPress´Â ÇöÀç ¼¼°èÀûÀ¸·Î °¡Àå ¸¹ÀÌ ¾²ÀÌ°í ÀÖ´Â CMS(Content Management System) Åø·Î Àü ¼¼°è ¾à 20%ÀÇ À¥ »çÀÌÆ®°¡ À̸¦ »ç¿ëÇØ ±¸ÃàµÇ¾î ÀÖ°í ±¹³»¿¡¼­µµ °³ÀÎ, ±â¾÷, °ø°ø±â°üµéÀÌ ÀÌ WordPress¸¦ ÀÌ¿ëÇØ À¥»çÀÌÆ®¸¦ ±¸ÃàÇÏ°í ÀÖ´Â °ÍÀ¸·Î ¾Ë·ÁÁ³´Ù.


   

    ¡ã °ø°Ý ÄÚµå


À̹ø Ãë¾àÁ¡À» ¹ß°ßÇÑ ºÎ»êÁ¤º¸º¸¾È±³À°¼¾ÅÍ(i2Sec)ÀÇ 13±â ¼ö°­»ý ÀÌÁö¿ø ¾¾´Â ¡°ÀÌ Ãë¾àÁ¡À» ÀÌ¿ëÇØ °ø°ÝÀÚ´Â ÀÏ¹Ý È¸¿øÀÇ ±ÇÇÑÀ» °ü¸®ÀÚ ±ÇÇÑÀ¸·Î º¯°æÇÒ ¼ö ÀÖµµ·Ï IMG ű׸¦ »ðÀÔÇÑ´Ù. ±×·¯¸é À¯Àú °èÁ¤À̳ª ´Ù¸¥ Á¤º¸°¡ ¾Æ´Ñ À¯Àú ¹øÈ£·Î ÆĶó¹ÌÅ͸¦ Àü´ÞÇÏ°Ô µÈ´Ù¡±¸é¼­ ¡°À̸¦ ÅëÇØ °ø°ÝÀÚ´Â ÀÏ¹Ý »ç¿ëÀÚÀÇ ±ÛÀ» È®ÀÎÇÑ ÈÄ ±Û¾´ÀÌ °èÁ¤À¸·Î ·Î±×ÀÎ ÇÏ¸é °ü¸®ÀÚ·Î ±ÇÇÑ µî±ÞÀÌ ¹Ù²î°Ô µÈ´Ù¡±°í ¼³¸íÇß´Ù.


   
     ¡ã °ø°Ý °á°ú


I2SECÀÇ ÇÑ °ü°èÀÚ´Â ¡°ÀÌ Ãë¾àÁ¡Àº ½ºÅ©¸³Æ® ÇÊÅ͸µ¿¡ ´ëÇØ IMG ű׷Π¿ìȸ(Bypass)ÇÏ¿© CSRF °ø°ÝÀÌ °¡´ÉÇÏ´Ù¡±¸é¼­ ¡°¾ÆÁ÷ º¸¾È ÆÐÄ¡°¡ ÀÌ·ç¾îÁöÁö ¾Ê¾Æ °ø°³ÇÒ ¼ö´Â ¾øÁö¸¸ ´Ù¼öÀÇ Plugin¿¡¼­µµ Ãë¾àÁ¡ÀÌ ¹ß°ßµÆ´Ù¡±°í µ¡ºÙ¿´´Ù.

 

¶ÇÇÑ ±×´Â ¡°ÇØ´ç Ãë¾àÁ¡¿¡ ´ëÇؼ­´Â  WordPress °³¹ß»çÀÇ Çѱ¹Áö»ç¿¡ Å뺸ÇÑ »óÅÂÀ̸ç, ÇØ´ç °³¹ß»ç´Â ÇöÀç º¸¾ÈÆÐÄ¡¸¦ Àû¿ë ÁßÀÎ °ÍÀ¸·Î ¾Ë°í ÀÖ´Ù¡±°í ¸»Çß´Ù.

 

ÀÌ¿¡ ´ëÇØ I2SEC ¹Ú¿ë¿î ÀÌ»ç´Â ¡°CSRF(Cross Site Request Forgery)°ø°Ý°ú XSS(Cross Site Scripting)°ø°ÝÀº ±Ùº»ÀûÀ¸·Î HTMLÄڵ尡 ½ÇÇàÀÌ µÇ´Â ¹®Á¦Á¡ÀÌ µ¿ÀÏÇÏ´Ù¡±¸é¼­ ¡°Â÷ÀÌÁ¡Àº ¸ÕÀú XSS´Â »ç¿ëÀÚ ¼¼¼Ç¼öÁý ,ÇǽÌ, ¿ú&¹ÙÀÌ·¯½º ¹èÆ÷ µîÀ¸·Î Å©·¡Ä¿°¡ ±¸ÃàÇØ µÐ ¼­¹ö·Î ¿äûÀÌ ÀϾ´Â ¹Ý¸é, CSRF´Â °ü¸®ÀÚ Æнº¿öµå º¯°æ, ±ÇÇÑ º¯°æ, ȸ¿ø Å»Åð, °Ô½Ã¹° »èÁ¦&¼öÁ¤&º¯°æ µî ÇØ´ç ¾Ç¼º °Ô½Ã¹°À» Á¦°øÇÏ´Â ¼­¹ö°¡ µÇ°Ú´Ù¡±°í ¸»Çß´Ù.


¿ä¾àÇϸé, XSS´Â Å©·¡Ä¿ÀÇ ¼­¹ö·Î ½ºÅ©¸³Æ®°¡ ¹ß»ýÇϸç CSRF´Â Ãë¾àÁ¡À» Á¦°øÇϴ Ŭ¶óÀ̾ðÆ®·Î ½ºÅ©¸³Æ®°¡ ¹ß»ýÇÑ´Ù°í Á¤¸®ÇÒ ¼ö ÀÖ´Ù´Â °Í.

¶ÇÇÑ ±×´Â ¡°ÀÌ·¯ÇÑ CSRF °ø°ÝÀÇ ÇÇÇØ´Â °ü¸®ÀÚ Æнº¿öµå º¯°æ, ŸÀÎÀÇ ±Û »èÁ¦, ŸÀÎÀÇ ±Û º¯°æ, ŸÀÎÀÇ È¸¿ø Å»Åð, °ü¸®ÀÚ Æ¯¼öÇÑ ±ÇÇÑÀ» ÀÌ¿ëÇÑ ÀÚ½ÅÀÇ Æ÷ÀÎÆ® Á¶ÀÛ µîÀÌ °¡´ÉÇÏ´Ù. Áï CSRF´Â ÇØ´ç ÇÇÇØÀÚÀÇ ¼¼¼ÇÀ» ÀÌ¿ëÇØ¾ß ÇÑ´Ù´Â Á¡ÀÌ Æ÷ÀÎÆ®ÀÌ¸ç ¸¸¾à ·Î±×ÀÎÇÏÁö ¾ÊÀº »óŶó¸é CSRF´Â ÇÇÇØ°¡ ¾ø´Ù°í º¸¸é ÀÌÇØ°¡ ½¬¿ï °ÍÀÌ´Ù¡±¶ó°í µ¡ºÙ¿´´Ù.


ÇöÀç WordPressÀÇ CSRF¿¡ ´ëÇÑ º¸¾È´ëÃ¥À¸·Î´Â °³¹ß»çÀÇ °æ¿ì º¸¾ÈÄÚµåÀÇ Ãß°¡°¡ ÇÊ¿äÇϸç, »ç¿ëÀÚ´Â ÃÖ½ÅÆÐÄ¡¸¦ Àû¿ëÇÏ°í °ü¸®ÀÚµéÀÇ º¸¾ÈÀÇ½Ä ¼öÁØÀ» ³ô¿©¾ß ÇÑ´Ù. ÇØ´ç Ãë¾àÁ¡Àº º¸¾ÈÆÐÄ¡°¡ ¹ßÇ¥µÇ¸é http://wordpress.org/download ¿¡¼­ ´Ù¿î·Îµå°¡ °¡´ÉÇÏ´Ù.  


WordPress´Â ±¹³» ´ëºÎºÐÀÇ ±â¾÷, °ø°ø±â°üÀÇ À¥»çÀÌÆ® ±¸Ãà¿¡ »ç¿ëµÇ¾ú±â ¶§¹®¿¡ ÇØ´ç Ãë¾àÁ¡¿¡ ´ëÇÑ °¢º°ÇÑ ÁÖÀÇ°¡ ÇÊ¿äÇÏ´Ù. ÀÌ¿¡ °¢ À¥»çÀÌÆ® ´ã´çÀÚµéÀº WordPress Àû¿ë ¿©ºÎ¸¦ È®ÀÎÇÏ°í, ÇØ´ç Ãë¾àÁ¡¿¡ ´ëÇÑ ÆÐÄ¡¹ßÇ¥ ½ÃÁ¡À» ½Å¼ÓÈ÷ ÆľÇÇØ ÀÌ·Î ÀÎÇÑ ÇÇÇØ°¡ ¾øµµ·Ï ¸¸ÀüÀ» ±âÇØ¾ß ÇÒ °ÍÀ¸·Î º¸ÀδÙ.

[±èÅÂÇü ±âÀÚ(boan@boannews.com)]


<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(http://www.boannews.com/) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 5
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)