[주의] 최근 무단 배포된 파일 XSS공격 코드 확인

안녕하세요.

최근 무단 배포된 파일을 제보받아 금일 확인하였습니다.

소스코드 확인결과

보안 강화 (SQL Injection 취약점 개선, XSS 취약점 개선) 패치 이전의 버전 (1.0.2) 으로 추정되며

비 멤버십 회원이 구매 > 수정하여 무단 배포한 것으로 추측 됩니다.

아울러, 무단배포된 파일을 다운로드 하셔서 사용중이시라면

즉시 사용을 중단해주세요.

입력폼 등에 스크립트가 심어져 있는것을 확인하였습니다.

원본코드 (정상)

무단배포된 코드 (naver 도메인으로 스크립트가 심어져 있습니다.)

해당 스크립트는 ezXSS라는 XSS 탐지 도구 입니다.

공격자가 이를 활용하여 피싱, 세션 탈취, 키로깅, 크립토재킹 등의 공격을 수행할 수 있습니다.

1. 웹사이트 방문자의 세션 및 개인정보 유출

2. 관리자 계정이 공격당할 가능성 증가

3. 웹페이지 변조 또는 자동 리디렉션

@고돌스 님 께서 알려주셨습니다. (탈취되는 정보)

dom: "전체 HTML",
cookie: "세션 ID",
screenshot: "Base64 이미지 데이터",
user-agent: "브라우저 정보",

차단방법

* 해당 도메인(naver.ez.pe)을 웹 방화벽(WAF) 또는 보안 시스템에서 차단

* .htaccess 파일에 다음 코드를 추가하여 해당 스크립트 차단

<IfModule mod_rewrite.c>

    RewriteEngine On

    RewriteCond %{HTTP_REFERER} naver.ez.pe [NC,OR]

    RewriteCond %{HTTP_USER_AGENT} ezXSS [NC]

    RewriteRule .* - [F,L]

</IfModule>

무단으로 배포되는 파일은 절대 사용하지 마시고,

사용하셨다면 즉각 폐기처리 해주세요.