포럼
정녕 XE 관리자님 보안문제에 대하여 무시하는것인가요?
2011.02.18 10:46
zbxe/files/cache/js_filter_compiled 폴더에 컴파일되는 ko.compiled.js 파일에 스크립트 삽입이 발생하는데
보안패치는 다 했습니다.
혹 서버쪽 문제라고한다면은 죄송합니다 아닙니다.
이미 서버쪽에서는 다 검사했고 XE 문제인것 같다고합니다.
그리고 저번에 XE에 문제가 있다고보는데 관련되서 한번 글 남긴걸로 아는데 쪽찌가 무시당했네요.
바쁘신것 같아 많이 기다렸는데 섭섭하네요.
보안에 관련해서는 최대한 빠르게 대처한다고해놓고서는.
개발자나 서버쪽도 몇주동안 이걸 쌩잡고 발악해봤지만 도저히 잡을길이 없습니다.
답변 바랍니다.
이마저도 무시한다면 XE에 대해 너무 많이 실망할것 같습니다.
꼭 좀 도움을 주셨으면 합니다.
보안패치는 다 했습니다.
혹 서버쪽 문제라고한다면은 죄송합니다 아닙니다.
이미 서버쪽에서는 다 검사했고 XE 문제인것 같다고합니다.
그리고 저번에 XE에 문제가 있다고보는데 관련되서 한번 글 남긴걸로 아는데 쪽찌가 무시당했네요.
바쁘신것 같아 많이 기다렸는데 섭섭하네요.
보안에 관련해서는 최대한 빠르게 대처한다고해놓고서는.
개발자나 서버쪽도 몇주동안 이걸 쌩잡고 발악해봤지만 도저히 잡을길이 없습니다.
답변 바랍니다.
이마저도 무시한다면 XE에 대해 너무 많이 실망할것 같습니다.
꼭 좀 도움을 주셨으면 합니다.
댓글 5
-
그래서 embed 태그는 관리자 아이디로 볼 수 없죠.
-
sol
2011.02.18 11:12
*.ko.complied.js 파일들은 자동으로 생성되는 javascript 파일입니다.
악성 스크립트 삽입을 말씀하신 것이라면, 파일이 생성된 이후 파일 변경이 있을 것으로 생각됩니다.
때문에 XE의 문제가 아닐 가능성이 클 것 같습니다.
보통 XE 공격은 소스 변경이 아닌 XSS와 CSRF 취약점, DB데이터 삭제 취약점과 같은 부분입니다.
말씀해주신 파일변경부분은 파일 쓰기 권한이 없으므로 불가능한 부분입니다. -
날개나라
2011.02.21 20:53
저도 묻고답하기에 올렸던사람인데요 js_filter_compiled 폴더의 소유자가 nobody 이고 파일은 -rw-r--r-- 인데 쓰기 권한이 없는건가요?
제 소스 퍼미션 설정이 잘못된건가요 ?
조언 부탁드립니다.
-
銀童
2011.02.18 12:32
스크립트 삽입을 XE 문제로 보시긴 문제가 있지 않을까요.
기초적인 보안이 문제가 있는거같은데,
서버 세팅을 체크해보심이 빠르지 않을까 합니다.
-
criuce
2011.02.19 11:06
굉장히 자극적인 제목이다;;
