22019,

1/1101

U_SoRang

http://kisa.or.kr

[NEWS] 국내 유명 제약회사, 구글 검색만으로 해킹 가능해

http://www.hackerschool.org/HS_Boards/zboard.php?AllArticle=true&no=31378 [복사]

http://dailysecu.com/news_view.php?article_id=5788
=============================================
구글에 노출된 파일들로 다양한 사이버 공격 가능한 상황
국내 모 유명 제약회사 사이트에서 구글 검색에 의한 디렉토리 리스팅 취약점과 SQL Query 노출 및 XSS 취약점이 발견돼 신속한 조치가 필요한 상황이다.

해당 취약점을 발견하고 데일리시큐에 제보한 송준혁(인천대학교 정보통신동아리 i-Linux 소속) 씨는 “구글 검색에 의해 유명 제약회사 사내 홈페이지 디렉토리 리스팅(Directory Listing) 취약점을 발견했다. 노출된 디렉토리 내의 파일들이 무방비로 노출돼 있어 악의적 해커라면 다양한 사이버 공격을 시도할 수 있어 위험하다고 판단돼 데일리시큐에 제보하게 됐다”고 말했다.

<유명 제약회사 디렉토리 파일들이 구글에 그대로 노출>

그는 “구글에서 특정 검색어로 검색을 하면 쉽게 찾을 수 있는 상황이다. 검색 과정에서 회원가입에 대한 소스코드가 여과없이 노출된 것을 확인했다”며 “이렇게 소프 파일을 내려 받을 수 있다면, 해당 제약회사는 악의적인 공격자에게 홈페이지 전반에 걸친 내용을 모두 주는 것이나 다름이 없어 상당히 위험하다”고 경고했다.

또한 “공개된 내용으로 로그인 시도후 SQL에 대한 에러 메시지와 로그인 등에 대한 쿼리문이 출력됐다”며 “또한 에러 메시지 코드를 보면 오라클을 사용한다는 것을 알 수 있었다. 이로써 대략적인 DB 테이블의 구조를 알 수 있고, 이를 응용하여 SQL 인젝션을 을 시도할 수 있다는 것을 알 수 있다”고 설명했다.

<XSS 취약점 테스트 결과>

그는 또 “XSS 공격이 유효한지 알아보기 위해 로그인 하지 않아도 글을 열람하거나, 작성 할 수 있는 자유게시판에 글을 작성해 보았다”며 “HTML mode로 놓고 XSS 확인 스크립트를 작성했다. 스크립트를 넣어보았지만 스크립트 그대로 출력 될 뿐, 아무 반응도 없었다. 이번에는 TEXT mode로 시도해 보았다. 그랬더니 수정 후 글을 다시 불러들이는 과정에서 ‘XSS Test’라는 문자열이 스크립트 대로 출력되었다. 이로써 XSS도 유효하다는 것을 확인 할 수 있었다”고 덧붙였다.

추가적으로 쿠키 값을 출력하는 것도 가능했으며 <iframe>도 유효하다는 것을 알 수 있었다. 그는 “이런 XSS 취약점을 이용해 악성코드 유포지 역할을 할 수도 있을 것”이라며 신속한 보안조치가 필요하다고 강조했다.

데일리시큐는 해당 취약점을 KISA에 전달해 보안조치가 이루어질 수 있도록 할 예정이다.

Hit : 8474 Date : 2013/12/02 03:20


namjmnam	XSS공격은 https://encrypted.google.com/ 에도 먹힐지 궁금하네요. 2010년 7월 XSS 유투브 해킹 사건이 떠오르는군요.	2013/12/07