안녕하세요.
TISTORY입니다.

최근 티스토리 보안 점검을 통해서 일부 블로그에 URL변조를 통한 XSS 취약성이 발견되었습니다. 

악용될 여지는 적지만 혹시나 모를 문제에 대비하기 위해서 취약성과 대처방법에 대해 안내드리니 해당되는 분들은 즉시 안내에 따라 스킨 변경 등 관련 조치를 취해주시기 바랍니다.



취약성 사례 안내

XSS 취약성웹사이트에 사용자가 입력한 스크립트가 그대로 실행되는 것을 말합니다. 

이번에 발견된 취약성은 URL에 스크립트 코드를 포함시키면 그대로 실행이 되는 케이스입니다.


- 영향을 받는 블로그: Fastboot 스킨 1.6.1 버전 이하 

- 확인방법: 'http://티스토리ID.tistory.com/tag/태그"><script>alert("OMG");</script>' 로 접속하면 "OMG" 안내 메시지 표시 

- 대응 방법:
  1) 확인 방법으로 테스트 했을 경우 안내 메시지가 보여지면 최신 스킨으로 업데이트 필요
  2) 교체 후에도 브라우저에 캐시로 남아있을 수 있으니 인터넷 캐시를 삭제한 후 이용 부탁드립니다.


조치 방법 

Fastboot 스킨 1.6.1 버전 이하의 스킨을 사용하는 일부 블로그에서 해당 취약성을 발견하여 스킨 제작자에게 패치를 요청드렸으며 제작자의 빠른 대응으로 현재는 패치된 스킨(1.6.2 버전)이 공개 되었으니 현재 Fastboot 스킨을 사용하시는 분들이나 같은 방식을 사용하는 다른 스킨을 사용하시는 분은 아래 조치사항을 반드시 따라 주세요. 


아울러 이 취약성에 계속해서 노출되어 악용될 경우 추가적인 피해를 막고자 해당 블로그를 부득이하게 규제할 수 있다는 점을 양해해 주시기 바랍니다.


- Fastboot 스킨을 사용하는 경우: 취약성이 해결된 Fastboot 스킨(1.6.2 버전)을 사용

그 외: 티스토리에서 공식적으로 제공하는 스킨으로 변경 후 이용



취약성 사례 안내와 더불어 한 가지 더 안내드립니다. 

스킨에서 Javascript로 컨텐츠를 변경하는 경우 반드시 사용하는 데이터를 Html escape 혹은 Uri encode해서 사용해주세요. 그렇지 않은 경우 XSS가 가능하게 되어 원치않게 블로그가 악용될 여지가 있습니다. 티스토리도 이와 관련한 보안 점검을 지속적으로 진행하여 최대한 피해가 발생하지 않도록 노력하겠습니다.


감사합니다.


Posted by TISTORY

댓글을 달아 주세요

  1. Fastboot 1.6.1 사용 중인데 태그에 들어갔을 때 아무것도 안 뜨면 괜찮은 건가요??

    • 안녕하세요. 티스토리입니다.
      Fastboot 1.6.1을 그대로 쓰고 계시다면 업데이트하셔야 하며, 안내드린 것처럼 본인의 블로그에서 http://블로그 주소/tag/태그"><script>alert("OMG");</script> 를 입력했을 때 OMG 팝업 메시지가 보이면 문제가 있는 것이니 꼭 업데이트 후 이용 부탁드립니다.

  2. http://normalist.tistory.com/tag/태그"> 이렇게 접속하면 되나요?

    • 안녕하세요. 티스토리입니다.
      안내 문구에 일부가 누락되어 혼란을 드려 죄송합니다.
      http://티스토리ID.tistory.com/tag/태그"><script>alert("OMG");</script> 까지 주소창에 넣어 테스트하셨을 때 OMG 안내 팝업이 뜬다면 문제가 있는 것이니 Fastboot 1.6.2 패치 버전으로 업데이트 후 이용 부탁드립니다.

  3. 지속적인 보안점검 감사합니다!! 요즘 티스토리에서 공식 반응형웹스킨도 버전을 계속 공개하고 있어서 좋네요!! 사용하고있는 다른스킨들도 ㅠ 해당문제가있는지 확인해봐야겠네요

  4. 요즘 왜 이렇게 취약성 문제가 많은지, 걱정스럽네요.
    그럼 그동안 저런 상태로 쓰고 있었단 말인가요….
    아직까진 늘 남의 일이었지만, 언제 내 일이 될지 몰라 불안하네요. (땀)

    • 안녕하세요. 티스토리입니다.
      이번 취약성은 해당 스킨을 사용하실 경우에만 확인된 문제라서 다른 스킨을 사용하신다면 당장 걱정하실 필요는 없을 것 같습니다. 하지만, 스킨 제작자의 실수 등으로 예상치 못한 문제가 있을 수 있는 만큼 가급적 티스토리 공식 스킨을 이용하시길 권해 드립니다.

  5. 비밀댓글입니다

  6. 제 스킨은 괜찮은 것으로 보이네요.
    혹시 모르니 확인 부탁드립니다^^

  7. 프라치노 공간은 XSS 관련 취약점에 대해 안전함을 알려드립니다. 문제 없음을 확인했습니다.

  8. 제 스킨도 괜찮은 걸로 보이네요. 다행입니다.

  9. 태그"><SCRIPT>ALERT("OMG");</SCRIPT> (0)

    팝업창은 안뜨고 본문에 이렇게 적혔는데, 이건 문제 없는건가요?

    • 안녕하세요. 티스토리입니다.
      해당 스킨을 사용하고 있을 때만 알려드린 방법으로 XSS 취약성을 확인할 수 있으며 다른 스킨은 이 방법으로 확인은 어렵습니다. 이점 참고하시어 해당 스킨을 쓰고 계신다면 최신 버전으로 업데이트 후에 이용 부탁드립니다.

  10. 알려준방법으로 접속하니
    '태그"><script>alert("OMG");</script>'에 해당되는 글 0건
    이렇게 나오면 해당 안되는거겠죠?

    • 안녕하세요. 티스토리입니다.
      해당 스킨을 사용하지 않으신다면 다른 스킨에선 이 방법으로 문제가 있는지 확인하실 수 없습니다. 그러니 해당 스킨을 이용하신다면 최신 버전으로 업데이트하시고, 다른 스킨을 사용하신다면 스킨 제작자에게 문의해 보시기 바랍니다.

  11. 티스토리에서 기본적으로 제공하는 스킨들은 괜찮다는 말인가요?

  12. 안녕하세요 알려주신대로

    http://티스토리ID.tistory.com/tag/태그"><script>alert("OMG");</script> 이렇게 주소창에

    제아이디를 넣고 했을때

    태그"><script>alert("OMG");</script> (0)

    이런 메세지라면 안전한건가요?

    • 안녕하세요. 티스토리입니다.
      해당 스킨을 사용하지 않으신다면 다른 스킨에선 이 방법으로 문제가 있는지 확인하실 수 없습니다. 그러니 해당 스킨을 이용하신다면 최신 버전으로 업데이트하시고, 다른 스킨을 사용하신다면 스킨 제작자에게 문의해 보시기 바랍니다.

  13. 많이들 보셔서 피해없기를 바랍니다!!

  14. 제가 사용하고 있는 스킨은 어떤지 확인좀 부탁합니다.

  15. 안녕하세요 티스토리 개발자님.

    위에 쓰신 '가급적이면 티스토리 공식 스킨을 사용해주세요'라고 하셨는데, 문제가 발견되지 않는 스킨이 더 많고 그런 부분에 있어서 '공식 스킨'을 언급할 것이 아니라 다른 스킨을 사용하거나 최신 버전을 사용하는 것을 추천하는게 어떨까 싶어요.

    스킨 개발자분들이 열심히 만든 스킨도 많습니다.


    더불어 스킨게시판의 경우 개발자 분들이 직접 확인하고 봐주셨으면 좋겠습니다. 검토 후 업로드를 해도 괜찮을 것 같아요. 그러면 이런 문제에 있어 보다 빨리 대응 할 수 있지 않을까요?!

  16. 비밀댓글입니다

  17. 질문이 있는데요! 원래 다른사람 댓글에 ADD 붙이는건 운영자님 밖에 안되나요??

  18. 보안을 떠나 TISTORY 운영자는 말실수를 했습니다. 공식 스킨은 안전한데 스킨 카테고리에 있는 스킨들은 무조건 위험하다는 인식을 심어줬습니다. 댓글 답변에서도 그런 부분이 드러나고요. 뭐, 이게 운영자의 생각일테니 잘 참고하도록 하겠습니다.

  19. 이런 일이 있었군요. 저도 확인을 해봐야겠습니다.
    모두들 아무런 피해가 없기를 바랍니다.



티스토리 툴바