블로그 이용자들, 해커가 지정해둔 악의적 사이트로 유도될 수 있어
네이버 블로그의 글쓰기 필터링 취약점으로 인해 블로그 이용자들이 해커가 지정해둔 악의적인 사이트에 접속할 수 있는 위험성이 존재하는 것으로 조사됐다.해당 취약점을 발견하고 데일리시큐에 제보한 이원평(세명고) 학생은 “네이버 블로그의 글쓰기에서는 html 태그의 style 속성(CSS)중 ‘position:fixed;’를 필터링해 없애 주고 있지만 다른 형태로 변형하면 필터링이 되지 않아 속성이 그대로 적용된다”고 설명하고 “추가적으로 z-index 속성도 필터링이 필요한 상황”이라고 덧붙였다.
만약 악의적 해커가 position 속성과 z-index 속성을 이용하면 어떠한 태그를 화면의 최상위에 출력할 수 있게 된다.
즉 네이버 블로그 게시글에 특정 소스코드를 넣어서 작성하면 PC버전으로 블로그 글을 접속한 후 화면의 아무 곳이나 클릭하면 공격자가 지정해둔 특정 URL로 이동이 가능하다. 악성코드 감염 사이트로 유도할 수 있는 것이다.
해결 방안은 position 속성과 z-index 속성에 대한 필터링 강화가 필요한 상황이다. 네이버 보안팀에 해당 취약성이 전달된 만큼 신속한 보안조치가 필요하다
★정보보안 대표 미디어 데일리시큐!★
<데일리시큐 길민권 기자> mkgil@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지