악의적 사용자가 카페 이용에 혼란 줄 수 있어 주의해야
포털 다음 카페에서 CSRF를 통해 강제적으로 카페 단체 쪽지를 전송시킬 수 있는 취약점이 발견됐다. 악의적 사용자가 카페 이용에 혼란을 줄 수 있어 조치가 필요하다. 해당 취약점을 발견하고 데일리시큐에 제보한 김용진씨는 “다음카페 운영진만 가능한 단체쪽지 전송을 해커가 강제로 단체쪽지를 보낼 수 있는 취약점”이라며 “발견한 날짜는 1월달 쯤에 발견했는데 아직도 유효한 취약점이라 제보하게 됐다”고 말했다.
그는 대처방안에 대해 “랜덤의 토큰값을 보내어 확인한 후 틀리다면 비정상적인 요청으로 대처하는 방법이 효과적일 것”이라고 설명했다.
그리고 “이러한 취약점을 통해 사용자가 원하지 않는 홍보성 쪽지를 발송할 수 있으며 사칭과 카페의 이용에 불편을 끼칠 수 있어 주의해야 한다”고 경고했다.
다음은 CSRF 취약점에 대해 좀더 적극적인 대처가 필요한 상황이다.
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지