태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

'파이오링크'에 해당되는 글 1건

  1. 2009.07.03 [INFO] 파이오링크, XSS 신규 취약점 경고
보안관련소식2009.07.03 17:10


http://www.ddaily.co.kr/news/news_view.php?uid=51653

파이오링크(www.PIOLINK.co.kr 대표 조영철)는 파일이름을 스크립트 구문으로 작성해 업로드된 게시물을 읽으면 해당 스크립트가 실행되는 취약점을 발견했다고 3일 밝혔다.

파이오링크에 따르면, 새로운 공격기법인 XSS 파일명 인젝션(XSS Filename Injection)이 어떠한 웹서버도 공격할 수 있고 발생 위험도도 최고(上)로 높다. 또 해당 취약점에 노출되면 악성코드가 삽입돼 사용자와 관리자 계정 탈취 등의 피해를 입을 수도 있다.

그러나 이 취약점은 특정 제품이나 프로그램과 무관하며, 브라우저에서 웹페이지를 보여 줄 때 사용되는 HTML 취약점을 이용한 것이다.

기존의 웹애플리케이션이나 웹방화벽은 일반적으로 업로드 파일에 확장자 및 파일 형식만 검사하고 파일 이름에 악성코드(XSS, SQL Injection, CSRF)가 있는지 검사하지 않는다.



Posted by viruslab