회원 비밀번호 확인 페이지에서 Reflected XSS

Writer DOGE Program 한국CISSP협회 대표홈페이지

WEB Resolved Medium 40,000 Last Updated: Jun 21, 2021 (a year ago) Created: Jun 16, 2021

Weakness

Reflected XSS

Description

개요

https://isc2chapter.kr/bbs/member_confirm.php 페이지의 url 파라미터를 통해 XSS가 가능함.

재현 과정

attacked
URI: https://isc2chapter.kr/bbs/member_confirm.php?url=javascript:alert%28confirm_mb_password.value%29
위 URI에 접속해서 비밀번호를 입력해보면, 삽입된 코드에 의해 alert가 뜸.

예상되는 취약점 발생 원인

url 파라미터에 대한 검증 미흡

패치 방법

url 파라미터가 javascript:로 시작하면 오류를 발생시키도록 패치

예상 결과 및 파급력

해커가 사용자들의 session id나 개인정보 등을 탈취할 수 있음

Timeline

DOGE submitted ticket. June 16, 2021 (a year ago)
CISSP MANAGER changed the status from 'Submitted' to 'In Progress'. June 17, 2021 (a year ago)
CISSP MANAGER posted a comment. June 17, 2021 (a year ago)

안녕하세요 패치가 완료 되었습니다.

확인 부탁 드립니다.

DOGE posted a comment. June 17, 2021 (a year ago)

네 확인했습니다. 이상없이 패치된것 같습니다.

CISSP MANAGER posted a comment. June 21, 2021 (a year ago)

감사합니다

앞으로도 많은 관심 부탁 드립니다,

CISSP MANAGER rewarded 40,000 credit. June 21, 2021 (a year ago)
CISSP MANAGER changed the disclosure from 'Closed' to 'Disclosed (Full)'. June 21, 2021 (a year ago)
CISSP MANAGER changed the status from 'In Progress' to 'Resolved'. June 21, 2021 (a year ago)