티스토리 블로그 XSS 보안 취약성 확인하기

블로그접속하니 공지로 알림이 떠있더군요. 뭐지하고 보니...반응형 블로그 사용하는 사용자들중에

일부에서 보안에 취약한 문제가 발생하여 이를 알려주려고 공지를 띄어놨더군요.

일단 블로그 확인해본결과 문제는 나타나지 않는거같은데 다른 방법으로 한번 찾아봐야겠네요.

안녕하세요.

TISTORY입니다.

최근 티스토리 보안 점검을 통해서 일부 블로그에 URL변조를 통한 XSS 취약성이 발견되었습니다. 

악용될 여지는 적지만 혹시나 모를 문제에 대비하기 위해서 취약성과 대처방법에 대해 안내드리니 해당되는 분들은 즉시 안내에 따라 스킨 변경 등 관련 조치를 취해주시기 바랍니다.

취약성 사례 안내

XSS 취약성은 웹사이트에 사용자가 입력한 스크립트가 그대로 실행되는 것을 말합니다. 

이번에 발견된 취약성은 URL에 스크립트 코드를 포함시키면 그대로 실행이 되는 케이스입니다.

- 영향을 받는 블로그: Fastboot 스킨 1.6.1 버전 이하 

- 확인방법: 'http://티스토리ID.tistory.com/tag/태그"><script>alert("OMG");</script>' 로 접속하면 "OMG" 안내 메시지 표시 

- 대응 방법:

  1) 확인 방법으로 테스트 했을 경우 안내 메시지가 보여지면 최신 스킨으로 업데이트 필요

  2) 교체 후에도 브라우저에 캐시로 남아있을 수 있으니 인터넷 캐시를 삭제한 후 이용 부탁드립니다.

조치 방법 

Fastboot 스킨 1.6.1 버전 이하의 스킨을 사용하는 일부 블로그에서 해당 취약성을 발견하여 스킨 제작자에게 패치를 요청드렸으며 제작자의 빠른 대응으로 현재는 패치된 스킨(1.6.2 버전)이 공개 되었으니 현재 Fastboot 스킨을 사용하시는 분들이나 같은 방식을 사용하는 다른 스킨을 사용하시는 분은 아래 조치사항을 반드시 따라 주세요. 

아울러 이 취약성에 계속해서 노출되어 악용될 경우 추가적인 피해를 막고자 해당 블로그를 부득이하게 규제할 수 있다는 점을 양해해 주시기 바랍니다.

- Fastboot 스킨을 사용하는 경우: 취약성이 해결된 Fastboot 스킨(1.6.2 버전)을 사용

- 그 외: 티스토리에서 공식적으로 제공하는 스킨으로 변경 후 이용

취약성 사례 안내와 더불어 한 가지 더 안내드립니다. 

스킨에서 Javascript로 컨텐츠를 변경하는 경우 반드시 사용하는 데이터를 Html escape 혹은 Uri encode해서 사용해주세요. 그렇지 않은 경우 XSS가 가능하게 되어 원치않게 블로그가 악용될 여지가 있습니다. 티스토리도 이와 관련한 보안 점검을 지속적으로 진행하여 최대한 피해가 발생하지 않도록 노력하겠습니다.

감사합니다.

XSS 취약성 공지 확인하기

일단 이렇게 올라와서 알려준대로 테스트 해봤습니다. 결론은 다행인지 모르겠지만 발견되지 않았는데...

문제없이 사용하려면 확실히 이것저것 잘 알아봐둬야겠네요.