최근 인기를 구가하고 있는 트위터에서 웹 애플리케이션 취약점 중의 하나인 XSS(Cross-Site Script) 취약점이 ‘0wn3d_5ys’라는 이름의 트위터 유저에게 발견되어 지난 21일 공개되었습니다.
취약점은 트위터에서 새 사용자를 추가하는 폼의 이름(name) 필드의 값에서 발생하는 것으로 알려져 있습니다.
한편, 지난 8월에서 James Slater가 URL을 등록하는 필드에서 XSS 취약점을 발견하여 해결한 바가 있습니다.
하여튼, 이번 발생한 취약점에 대한 자세한 사항은 다음과 같습니다.
아래의 URL을 방문하면 XSS 취약점을 증명하는 화면을 볼 수 있습니다.
(주: 현재 해당 계정은 접근이 불가능합니다)
<주: XSS 취약점이 있는 지 확인하는 대표적인 방법>
팝업 창에 대한 자세한 화면은 아래와 같이 2가지로 출력됩니다.
2개의 팝업이 출력된 후에는 아래와 같이 매트릭스의 화면으로 넘어갑니다.
공격 방법에 대한 자세한 내용은 아래 링크를 참고하십시오.
http://praetorianprefect.com/archives/2010/06/persistent-xss-on-twitter-com/
참고로 XSS 취약점은 다음과 같이 3가지 형태로 분류되며 트위터에서 발견된 취약점은 Persistent XSS 취약점입니다.
- 피싱
- Persistent XSS
- Non-Persistent XSS
끝.
참고자료:
XSS에 대한 기술자료: http://www.cgisecurity.com/articles/xss-faq.txt
위의 글의 한글번역본: http://www.hackerschool.org/HS_Boards/data/Lib_web/css.pdf
Trackbacks/Pingbacks
[...] This post was mentioned on Twitter by . said: [...]
[...] 관련자료: http://blog.websanitizer.com/ko/?p=267 [...]