È«°¡Çý ¾¾ °ËÁõ ¼ÒȦ·Î ÇѹÙÅÁ È«¿ª...À̹ø¿£ º¸¾ÈÃë¾àÁ¡ Á¦±â
»ç¿ëÀÚ ÀԷ°ª °ËÁõ ºÎÀç·Î ¹ß»ýÇÏ´Â XSS Ãë¾àÁ¡ ¹ß°ß...Á¶Ä¡ ¿Ï·á
[º¸¾È´º½º ¹Î¼¼¾Æ] È«°¡Çý ¾¾ÀÇ °ÅÁþ¸» ÀÎÅÍºä ³í¶õÀ¸·Î ÇѹÙÅÁ È«¿ªÀ» Ä¡¸¥ MBN(http://mbn.mk.co.kr/)¿¡¼ À̹ø¿£ º¸¾ÈÃë¾àÁ¡ ¹®Á¦°¡ Á¦±âµÆ´Ù.
¿ì¸®³ª¶ó ´ëÇ¥ÀûÀÎ Á¾Æí ¹æ¼Û»çÁß ÇϳªÀÎ MBN¿¡¼ XSS(Cross Site Scripting) Ãë¾àÁ¡ÀÌ ¹ß°ßµÈ °Í. º»ÁöÀÇ Å뺸·Î ÇöÀç´Â Á¶Ä¡°¡ ¿Ï·áµÈ »óÅÂÀÌÁö¸¸, Çã¼úÇÑ º¸¾È°ü¸®¿¡ µû¸¥ ºñÆÇÀº ÇÇÇÒ ¼ö ¾ø°Ô µÆ´Ù.
¡ã [»çÁø1] ½ºÅ©¸³Æ® ½ÇÇà
XSS Ãë¾àÁ¡Àº »ç¿ëÀÚ°¡ ÀÔ·ÂÇÏ´Â ÆĶó¹ÌÅ͸¦ °ËÁõÇÏÁö ¾Ê¾Æ ¹ß»ýÇÏ´Â °ÍÀ¸·Î, OWASP Top 10¿¡µµ Æ÷Ç﵃ Á¤µµ·Î ¸Å¿ì À§ÇèÇÑ Ãë¾àÁ¡ÀÌ´Ù.
OWASP Top 10Àº ±¹Á¦ À¥º¸¾È ±â±¸ OWASP¿¡¼ 3³â¿¡ ÇÑ ¹ø¾¿ À¥°ú °ü·ÃµÈ °ø°Ý Áß ¿µÇâ·ÂÀÌ Å« °ø°ÝÀ» À§Ç輺ÀÌ ³ôÀº ¼ø¼´ë·Î 1À§ºÎÅÍ 10À§±îÁö Á¤ÇسõÀº °ÍÀÌ´Ù.
À̹ø Ãë¾àÁ¡À» Á¦º¸ÇÑ ÈÀÌÆ®ÇØÄ¿±×·ì ¶ô´Ù¿î(LockDown) ÃøÀº ¡°Äõ¸®·Î ÀÎÇÑ URL ¸µÅ©¸¦ ¾Ç¼º¸µÅ©·Î º¯Á¶½ÃÅ°°í ÇØ´ç ¾Ç¼ºÄڵ带 ´Ù¿î·Îµå½ÃÄÑ ½ÇÇà½Ãų ¼ö ÀÖ´Ù¡±¸ç, ¡°¾Ç¼ºÄÚµå Á¦ÀÛÀÚ°¡ ¾Ç¼ºÄڵ带 Á¦ÀÛÇÑ ¸ñÀû¿¡ µû¶ó ¾î¶°ÇÑ ±â´ÉÀ̵ç ÀüºÎ ¼öÇà °¡´ÉÇϱ⠶§¹®¿¡ ±²ÀåÈ÷ À§ÇèÇÑ Ãë¾àÁ¡¡±À̶ó°í ÀüÇß´Ù.
ÇØ´ç Ãë¾àÁ¡Àº ÀÎÅÍ³Ý ÀͽºÇ÷η¯(IE) 6, 7¿¡¼ ¹ß»ýÇϸç ÆÄÀ̾îÆø½ºÀÇ °æ¿ì ¸ðµç ¹öÀüÀÌ Ãë¾àÇÏ´Ù. ¶ÇÇÑ ÀÎÅÍ³Ý ÀͽºÇ÷η¯ 8ÀÌ»ó ¹öÀü¿¡¼ XSS ÇÊÅ͸¦ ¡®»ç¿ë ¾ÈÇÔ¡¯À¸·Î ¼³Á¤ÇÑ °æ¿ì¿¡µµ ¹®Á¦°¡ ¹ß»ýÇÒ ¼ö ÀÖ´Ù.
¡ã [»çÁø2] ¾Ç¼ºÄÚµå ´Ù¿î·Îµå °¡´ÉÇÑ Á¤È² Æ÷Âø
¡ã [»çÁø3] Äõ¸®·Î ÀÎÇÑ ´Ù¿î·Îµå ½ºÅ©¸³Æ® È®ÀÎ
¶ô´Ù¿î(LockDown) ÃøÀº ¡°°Ë»öÀ» ½ÃµµÇÒ ¶§ <script> ¶ó´Â ´Ü¾î°¡ µé¾î¿À¸é ÇØ´ç ½ºÅ©¸³Æ® »èÁ¦ ÈÄ °Ë»ö °á°ú¸¦ º¸¿©Áְųª ¾Æ¿¹ °Ë»öÀÌ µÇÁö ¾Êµµ·Ï ÇØ¾ß ÇÑ´Ù¡±¸ç, ¡°ÇØ´ç Ãë¾àÁ¡À¸·Î ÀÎÇÑ ÇÇÇØ ¹ß»ý½Ã ÀÌ¿ëÀÚ°¡ ÀÎÁöÇÒ ¼ö ÀÖµµ·Ï ÇØ¾ß ÇÑ´Ù. 2Â÷ÀûÀÎ ÇÇÇظ¦ ¸·±â À§ÇØ »ç¿ëÀÚµéÀÇ ÁÖÀÇ°¡ ÇÊ¿äÇÏ´Ù¡±°í ´çºÎÇß´Ù.
MBNÀº ¸¹Àº µ¶ÀÚÃþÀ» °Å´À¸° ¹æ¼Û»çÀÎ ¸¸Å À¥ º¸¾È¿¡ °¢º°ÇÑ ½Å°æÀ» ½á¾ßÇÒ °ÍÀ¸·Î º¸ÀδÙ. ÇØ´ç Ãë¾àÁ¡ÀÌ ¾Ç¿ëµÉ °æ¿ì ÇÇÇØÀÚµéÀÌ ¼ÓÃâÇÒ ¼ö ÀÖ´Â ¸¸Å º¸´Ù öÀúÇÑ º¸¾È°ü¸®°¡ ¿ä±¸µÈ´Ù.
[¹Î¼¼¾Æ ±âÀÚ(boan5@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(http://www.boannews.com/) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>