갤로그 로그작성 부분 취약점…스크립트 구문 업로드 되지 못하도록
디시인사이드 갤로그 로그작성 부분에서 XSS취약점이 발견됐다. 이번 취약점을 발견하고 데일리시큐에 제보한 박종엽(분당대진고) 군은 “8월 2일 갤로그에서 XSS테스트를 하던 중 방어알고리즘을 발견했고, 그 점을 이용해 XSS공격이 가능하다는 것을 발견했다”고 설명했다.![](/news/photo/201308/4972_3094_0810.jpg)
이번 취약점에 대해 박군은 “디시인사이드의 갤로그 글쓰기 부분은 XSS 방어알고리즘을 가지고있지만(기사에서는 공개 불가) 이러한 방어법은 괜찮은 방어법으로 보일지 모르지만, 사실 안전하지 않은 방어법”이라며 “NULL 처리하는 부분을 없애 스크립트 구문을 실행시킬 수 있었다”고 구체적인 제보를 보내왔다.
![](/news/photo/201308/4972_3095_0810.jpg)
또 “갤로그는 몇가지 태그를 제한하고 있어, 허용되는 태그를 이용해 1차적으로 우회한 뒤, 주석처리로 상쇄시키는 부분을 없애 XSS가 가능했다”고 밝혔다.
이러한 공격을 차단하기 위해서는 “우선 스크립트 구문이 업로드 되지 못하도록 제한시키는 것이 더 좋은 방어책이라 생각한다”고 제안했다.
데일리시큐는 해당 취약점을 KISA에 전달해 취약점이 해결될 수 있도록 할 예정이다.
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지