보안정보

글로벌 정보보안 리더 윈스
sourcecodesterCVE-2020-28138

[CVE-2020-28138] Clothing Store SQL Injection

침해사고분석팀 2020.12.18

 

 

Online Clothing Store에 SQL Injection 취약점이 존재합니다.


Online Clothing Store with Source Code는 온라인 서비스를 통해 옷을 살 수있는 PHP, HTML, MySQLi 및 Javascript를 사용하여 개발된 PHP 프로젝트 입니다. 


해당 취약점은 로그인 시 id, password 매개변수에 대한 부족한 입력 유효성 검사로 인해 발생합니다. 


원격의 공격자는 악의적으로 조작된 요청을 전송하여 공격할 수 있습니다.

 

 

 

취약점 설명

 

NVD - CVE-2020-28318

CVSS v2.0 Severity and Metrics:

Base Score: 7.5 HIGH

 

 

[그림1. NVD 내역]

 

 

 

취약점 분석

 

해당 취약점은 login.php의 txtUserName 및 txtPassword에서 값에 대한 검사가 불충분하여 발생하게 됩니다. 

 

[그림2. login.php 코드 내역]

 

패치 버전은 아직 출시되지 않았습니다.

 

 

 

공격 분석

 

CVE-2020-28138의 공격 패킷은 다음과 같습니다.

 

 

[그림3. 공격 패킷]

 

 

 

취약점 대응 방안

 

1. 최신 버전 사용 및 대체 프로젝트 사용
 
https://www.sourcecodester.com/php/14185/online-clothing-store.html

 
목록