중·고생과 학원선생님들이 자주 방문하는 www.alzzaXXX.co.kr이라는 기출문제집 사이트의 쿠키 취약점이 발견됐다.
 
이 취약점을 데일리시큐에 제보한 변인수 군은 “해당 홈페이지에서는 쿠키를 사용해 로그인하는것으로 보인다”며 “간단하게 로그인 체크 부분의 쿠키를 admin으로 바꾸면 바로 관리자 홈페이지로 접속이 가능할 수 있다”고 조치를 당부했다.
 
이 취약점으로 인해 해당 사이트는 DB노출이 가능한 상황이다. 이러한 문제 발생 원인에 대해 변 군은 “보통 ID부분의 쿠키는 암호화되어 저장되는데 암호화되지 않고 노출되어있기 때문”이라고 설명했다.
 
그는 “공격자는 이 취약점을 이용해 사이트 전체 통제권한을 가져 올 수 있어 신속한 조치가 필요하다”며 “유저 쿠키를 암호화시키는 방법으로 공격을 차단할 수 있을 것”이라고 조언했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com