최근 티스토리 보안 점검을 통해서 일부 블로그에 URL변조를 통한 XSS 취약성이 발견되었습니다.
악용될 여지는 적지만 혹시나 모를 문제에 대비하기 위해서 취약성과 대처방법에 대해 안내드리니 해당되는 분들은 즉시 안내에 따라 스킨 변경 등 관련 조치를 취해주시기 바랍니다.
취약성 사례 안내
XSS 취약성은 웹사이트에 사용자가 입력한 스크립트가 그대로 실행되는 것을 말합니다.
이번에 발견된 취약성은 URL에 스크립트 코드를 포함시키면 그대로 실행이 되는 케이스입니다.
- 영향을 받는 블로그 : Fastboot 스킨 1.6.1 버전 이하
- 대응 방법 :
조치 방법
Fastboot 스킨 1.6.1 버전 이하의 스킨을 사용하는 일부 블로그에서 해당 취약성을 발견하여 스킨 제작자에게 패치를 요청드렸으며 제작자의 빠른 대응으로 현재는 패치된 스킨(1.6.2 버전)이 공개 되었으니 현재 Fastboot 스킨을 사용하시는 분들이나 같은 방식을 사용하는 다른 스킨을 사용하시는 분은 아래 조치사항을 반드시 따라 주세요.
아울러 이 취약성에 계속해서 노출되어 악용될 경우 추가적인 피해를 막고자 해당 블로그를 부득이하게 규제할 수 있다는 점을 양해해 주시기 바랍니다.
- Fastboot 스킨을 사용하는 경우 : 취약성이 해결된 Fastboot 스킨(1.6.2 버전)을 사용
- 그 외: 티스토리에서 공식적으로 제공하는 스킨으로 변경 후 이용
취약성 사례 안내와 더불어 한 가지 더 안내드립니다.
스킨에서 Javascript로 컨텐츠를 변경하는 경우 반드시 사용하는 데이터를 Html escape 혹은 Uri encode해서 사용해주세요. 그렇지 않은 경우 XSS가 가능하게 되어 원치않게 블로그가 악용될 여지가 있습니다. 티스토리도 이와 관련한 보안 점검을 지속적으로 진행하여 최대한 피해가 발생하지 않도록 노력하겠습니다.
감사합니다.
