±ÝÀüÀûÀÎ ÇÇÇØ ÀÔÀ» ¼ö ÀÖ¾î º¸¾È Á¶Ä¡ ÇÊ¿ä...
¸Þ°¡¹Ú½º Ãø ¡°ÇØ´ç Ãë¾àÁ¡¿¡ ´ëÇÑ ÆÐÄ¡ ÀÛ¾÷ ¿Ï·á¡±
[º¸¾È´º½º ±èÅÂÇü] ¿Â¶óÀÎ ¿µÈ ¿¹¸Å »çÀÌÆ® ¸Þ°¡¹Ú½º(www.megabox.co.kr)¿¡¼ XSS(Cross Site Scripting) Ãë¾àÁ¡ÀÌ ¹ß°ßµÇ¾î ÀÌ¿ëÀÚµéÀÇ ÁÖÀÇ°¡ ÇÊ¿äÇÏ´Ù.
À̹ø Ãë¾àÁ¡À» ¹ß°ßÇÑ PLUS SOFT Á¶¼ºÁØ ¾¾´Â ¡°XSS Ãë¾àÁ¡Àº ½ºÅ©¸³Æ®¸¦ »ðÀÔÇØ À¥ ¾îÇø®ÄÉÀ̼ǿ¡¼ ¼ø¼öÇÏ°Ô Á¦°øµÇ´Â µ¿ÀÛ ¿Ü¿¡ ºÎÁ¤ÀûÀ¸·Î ÀϾ´Â ¾×¼ÇÀ¸·Î À¥¿¡ ÇØÄ¿°¡ ½ºÅ©¸³Æ®¸¦ ½É´Â °ÍÀÌ´Ù. ÀÌ¿¡ °ø°Ý ´ë»óÀº ¼¹ö°¡ ¾Æ´Ï¶ó Ŭ¶óÀ̾ðÆ®ÀÌ´Ù¡±¶ó¸ç ¡°ÇØ´ç Ãë¾àÁ¡¿¡ ´ëÇÑ °ø°ÝÀ¸·Î Ŭ¶óÀ̾ðÆ®ÀÇ ÄíÅ°¸¦ Å»ÃëÇÒ ¼ö ÀÖÀ» »Ó¸¸ ¾Æ´Ï¶ó csrf °ø°Ý¿¡µµ ÀÌ¿ëµÉ ¼ö ÀÖ°í Ŭ¶óÀ̾ðÆ®ÀÇ PC¿¡ ¾Ç¼ºÄڵ带 ¼³Ä¡½Ãų ¼ö ÀÖ´Ù¡±¶ó°í ¼³¸íÇß´Ù.
Á¶ ¾¾´Â ¡°¡®<img src="#" onerror="alert(¡°cross site scripting¡±);">¡¯¿Í °°Àº ½ºÅ©¸³Æ®¸¦ ÀÔ·ÂÇغ¸¾Ò´Ù. ±× °á°ú ¡®<img src="#" onerror="alert(¡¯¿Í °°ÀÌ ÇÊÅ͸µÀÌ µÇ¾î °á°ú°¡ ³ª¿Í XSS Ãë¾àÁ¡ °ø°Ý¿¡ ½ÇÆÐÇß´Ù. window.open µîÀÇ javascriptµµ ¸ðµÎ ½ÇÆÐÇß´Ù¡±°í ¸»Çß´Ù.
ÀÌ¾î¼ ±×´Â ¡°ÇÏÁö¸¸ img ű׸¦ »ç¿ëÇÏ¸é¼ html ű׸¦ ÇÊÅ͸µÇÏÁö ¾Ê´Â´Ù´Â °É ¾Ë¾Æ³Â´Ù. ±×·¡¼ ¿ÜºÎ ÆäÀÌÁö¿¡¼ ½ºÅ©¸³Æ®¸¦ ÀÐ¾î µéÀÌ´Â iframe ű׵µ ÇÊÅ͸µµÇÁö ¾Ê¾Ò´Ù. ½ºÅ©¸³Æ®¸¦ ÀÔ·ÂÇغ¸´Ï ¾Ë¸²Ã¢ÀÌ ¶¹´Ù. ÀÌ´Â ´ÜÁö ¾Ë¸² âÀ» ¶ç¿ì´Âµ¥ »ç¿ëÇßÁö¸¸ À̸¦ ¾Ç¿ë °¡´ÉÇÑ ½ºÅ©¸³Æ®(window.open, location µî)¸¦ º¯°æÇϸé Ŭ¶óÀ̾ðÆ®ÀÇ PC´Â ÃæºÐÈ÷ °ø°Ý´çÇÒ ¼ö ÀÖ´Â »óȲÀÌ´Ù¡±¶ó°í °Á¶Çß´Ù.
ÀÌ¿Í °°Àº Ãë¾àÁ¡À» ¾Ç¿ëÇÑ °ø°ÝÀÇ ÇÇÇØ À¯ÇüÀ¸·Î´Â ÇǽÌ, ¾Ç¼º ÄÚµå ¼³Ä¡ µîÀÌ ÀÖÀ¸¸ç ¾Ç¼ºÄڵ尡 ¼³Ä¡µÇ¸é Ŭ¶óÀ̾ðÆ®´Â Àå±â°£µ¿¾È key log, ID sniff, session sniff µîÀÇ ÇÇÇظ¦ ´çÇÒ ¼ö ÀÖ´Ù. °á°úÀûÀ¸·Î ±ÝÀüÀûÀÎ ÇÇÇظ¦ ÇÇÇϱâ Èûµé´Ù.
Á¶¼ºÁØ ¾¾´Â ¡°ÇØ´ç Ãë¾àÁ¡Àº html ÅÂ±× ÇÊÅ͸µÀ» ÇÏÁö ¾Ê¾Æ ¹ß»ýÇÏ´Â ¹®Á¦ÀÌ´Ù. javascript¿¡ ´ëÇÑ ÇÊÅ͸µÀº °ÅÄ¡´Â °ÍÀ¸·Î º¸ÀδÙ. html ÅÂ±× ÇÊÅ͸µÀÌ Á¦´ë·Î ÀÌ·ïÁø´Ù¸é ÇØ°áµÉ Ãë¾àÁ¡ÀÌ´Ù¡±¶ó°í µ¡ºÙ¿´´Ù. ÇöÀç´Â ÇØ´ç Ãë¾àÁ¡À» ¸Þ°¡¹Ú½º °í°´¼¾Å͸¦ ÅëÇØ Àü´ÞÇÑ »óÅÂÀÌ´Ù.
ÀÌ¿¡ ´ëÇØ ¸Þ°¡¹Ú½º ÃøÀº ¡°ÇØ´ç Ãë¾àÁ¡¿¡ ´ëÇÑ ³»¿ëÀº ȨÆäÀÌÁö ¿î¿µ ¹× °ü¸®¸¦ ÇÏ°í ÀÖ´Â ´ëÇà»ç Ãø¿¡¼ ÀÌ¹Ì È®ÀÎÇؼ ¸®Æ÷Æ®¸¦ ¹Þ°í ÆÐÄ¡ ÀÛ¾÷À» ÃëÇÏ´ø ÁßÀ̾ú´Ù. ÇöÀç ÀÌ Ãë¾àÁ¡¿¡ ´ëÇÑ ÆÐÄ¡ ÀÛ¾÷Àº ¿Ï·áµÈ »óÅ¿©¼ ¹®Á¦´Â ¾ø´Ù¡±¶ó°í ¸»Çß´Ù.
[±èÅÂÇü ±âÀÚ(boan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(http://www.boannews.com/) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>