스크립트에 대한 보안처리 되어있지만 이를 우회해 XSS 및 CSRF 공격 가능한 취약점
영카트(YOUNGCART) 5.1.4버전에서 XSS 및 CSRF 취약점이 발견됐다. 이용자들은 신속히 최신 버전으로 업데이트 해야 해킹 공격에 안전할 수 있다.해당 취약점을 발견하고 데일리시큐에 제보한 대구 국제정보안교육센터(i2sec) 12기 수강생 변희준 군은 “영카트 사용자가 물건을 구매하는데 전하실 말씀란에 스크립트에 대한 보안처리가 되어 있으나 이를 우회해 XSS 및 CSRF 공격이 가능한 취약점을 발견했다”고 말했다.
일반회원은 영카트5 주문 전하실 말씀 란에 XSS, CSRF 스크립트 우회 가능
XSS(Cross Side Scripting)는 관리자의 세션 쿠키의 값을 탈취go 관리자의 권한을 획득하거나, 악성코드 및 웜(Worm) 바이러스 배포에 사용될 수 있다.
또 CSRF는 자신의 권한을 읽는 것처럼 실행을 해 게시판 글 수정, 삭제, 회원관리 내용 강제로 수정하거나 탈퇴를 해 많은 피해를 발생시킬 수 있다. 관리자는 영카트 주문내역을 확인 하는 순간 XSS, CSRF 공격에 노출되어 있는 것들이 있다.
관리자는 일반 회원 주문 내역을 확인 하는 순간 XSS,CSRF 위험에 노출
그는 “이번 보안 취약점은 스크립트에 대한 공격은 HTML 태그를 활용한 공격 뿐만 아니라 그에 대한 보안도 우회해 공격이 가능하다는 점에 주의가 필요하다”고 강조했다.
한편 해당 취약점은 담당자에게 전달돼 패치가 완료 되었다. 사용자들은 그누보드(영카트) 버전을 최신 버전으로 업데이트해 사용할 것을 권고한다.
★정보보안 대표 미디어 데일리시큐!★
<데일리시큐 길민권 기자> mkgil@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지
