자신이 운영하는 사이트가 XSS 에 취약한지를 알려주는 XSSed.com 이라는 사이트가 등장했습니다.
이 사이트는 Zone-h.org 와 마찬가지로 누군가가 'A 사이트의 이러이러한 페이지가 XSS 에 취약해요!' 라고 보고하면 그 내용을 검토해본 후 XSS Archive 에 올리는 방식으로 운영됩니다. 전체 메뉴의 구성도 Zone-h.org 를 의식적으로 흉내내려한 걸 느낄 수 있습니다.
그러면 국내 최고 포탈인 네이버를 이 사이트에서 검색해서 보도록 하겠습니다.
등록된 각 엔트리를 클릭하면 다음과 같은 화면이 나타납니다.
XSSed.com 사이트는 자신이 운영하는 사이트의 XSS 취약점을 파악하고, 제거할 수 있도록 도움을 주지만 몇 가지 단점이 있습니다.
1. 누군가가 이미 취약점을 점검해서 XSS Archive 에 등록을 요청해야만 XSS 취약점을 파악할 수 있어 '사후약방문'에 가깝다.
2. 사이트 운영자보다 다른 사람들이 먼저 취약점을 알게될 가능성이 높아, 악의적인 용도에 활용될 여지가 있다.
3. Zone-h.org 의 Archive 가 단순히 deface 된 홈페이지를 캡쳐해서 보여주는 반면, XSSed.com 의 Archive 에 등록된 취약점 점검 기법은 아주 조금만 수정해도 실제 공격에 활용할 수 있기 때문에 법적인 위험이 있다.
는 점을 들 수 있겠네요.
특히 3번째는 심각한 부분인데, XSSed.com 의 Archive 에 등록된 link 를 클릭하면 여러분의 브라우저에서 해당 사이트에 대해 XSS 취약점을 점검하게 됩니다. 여러분이야 link 를 따라 들어간 것이니 악의적인 의도가 없었음을 증명하면 법적인 책임을 면할 수 있을 것입니다. 그러나 XSSed.com 은 해당 사이트를 해킹하는 방법을 공개했다는 법적 책임을 면하기 어려울 듯 합니다. 한편으론 'XSS 취약점이 발생하는 정확한 URL 과 점검 기법을 공개하지 않는다면 개발자가 어떻게 취약점을 고칠 수 있겠느냐?' 고 반론한다면, 사실 그 말도 맞는 말이라... ㅋㅋ... 어려운 문제죠?
일정 규모 이상의 사이트를 운영하는 분들이라면 XSSed.com 의 등장이 분명 달갑지 않으실 텐데, 앞으로는 이렇게 대처하면 어떨까 합니다.
1. 개발 보안 프로세스를 강화하여 XSS 취약점의 발생 여지를 없앤다.
(Fortify 같은 도구를 개발 프로세스에 도입하면 더욱 편리하겠죠)
2. 주기적으로 XSS 취약점을 점검하여 XSSed.com 에 등록되기 이전에 취약점을 제거한다.
3. 보안 담당자가 매일 XSSed.com 을 모니터링하여 자신의 사이트가 등록된 경우 해당 문제를 해결한다.
(XSSed.com 에 메일로 Fixed 상태로 변경해달라고 요청할지 말지는 나름의 판단에 맡기겠습니다)
아참... 그리고 네이버를 예로 들었다고 '네이버 보안 수준 개판이구만~' 하는 오해는 말았으면 합니다. 국내외의 유명 사이트는 거의 전부 XSSed.com 에 등록되어 있어요. 예를 들면 '야후'라던가 '다음' 이라던가, '파란'이라던가, '구글' 등등...
