회원 DB유출과 관리자 권한 위험…유저 쿠키 암호화해야
중·고생과 학원선생님들이 자주 방문하는 www.alzzaXXX.co.kr이라는 기출문제집 사이트의 쿠키 취약점이 발견됐다.이 취약점을 데일리시큐에 제보한 변인수 군은 “해당 홈페이지에서는 쿠키를 사용해 로그인하는것으로 보인다”며 “간단하게 로그인 체크 부분의 쿠키를 admin으로 바꾸면 바로 관리자 홈페이지로 접속이 가능할 수 있다”고 조치를 당부했다.
이 취약점으로 인해 해당 사이트는 DB노출이 가능한 상황이다. 이러한 문제 발생 원인에 대해 변 군은 “보통 ID부분의 쿠키는 암호화되어 저장되는데 암호화되지 않고 노출되어있기 때문”이라고 설명했다.
그는 “공격자는 이 취약점을 이용해 사이트 전체 통제권한을 가져 올 수 있어 신속한 조치가 필요하다”며 “유저 쿠키를 암호화시키는 방법으로 공격을 차단할 수 있을 것”이라고 조언했다.
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지