포럼

  2. Support
  3. 포럼

코어 이슈인 줄 알았던 보안취약점...

2014.08.03 13:50

이즈야

오늘 한 유저가 게시글에 자바스크립트를 삽입해 출력에 성공하는 일이 있었습니다.

완전 깜짝 놀라서 바로 증상 진단에 나섰는데...


카르마님의 이미지 자동출력 애드온 사용하시는 분 많으실 거 같은데요.

게시글 제목에 스크립트 태그를 넣어버리면 이 애드온에 의해 자바스크립트가 삽입되는 버그가 있었습니다.

예) 제목: <body><script>alert("안녕하세요!")</script></body>


애드온 구조를 보니까 DB에서 직접 게시글 정보를 가져오더라구요.

그런데 DB에 저장되는 게시글 제목은 removeHackTag를 거치지 않는 모양이더라구요.

DB를 보니까 제목란에 태그가 그대로 들어가있네요~


카르마님의 이미지 자동출력 애드온에서는 img alt 부분에 게시글 제목을 넣도록 되어 있었습니다.

그런데 DB에 저장되는 제목이 태그가 삭제되지 않은 채로 들어가다보니 본문에 허용되지 않은 태그를 넣을 수 있었던 거죠.

임시방편으로 최고관리자가 아니면 removeHackTag를 거치도록 수정해뒀는데... 코어 자체에서도 게시글 삽입 시 제목 부분의 태그를 삭제해줄 필요가 있을 거 같아요.


깃허브 이슈 준비하려다가... 서드파티 애드온의 이슈라서 이슈 준비는 그만뒀는데, 어쩔까요...?

이 게시물을
Profile

늘 배우는 자세로.

좋아요
목록
글쓴이 제목 최종 글
uoou 나눔 고딕 폰트가 갑자기 안되시는분? 혹시 계시나요? [5] 2014.08.14 by LI-NA
콩까기 홈페이지에 지속적으로 악의성글을 올리는경우 .. [1] 2014.08.14 by GG
POSTZI XE 회원가입문제 [4] 2014.08.12 by POSTZI
GitBox MYXE :: 안드로이드용 XE 푸시앱 [3] file 2014.08.12 by MYXE
기진곰 비번 암호화 방법 개선에 대해 이슈를 등록했습니다. [20] 2014.08.12 by Garon
로보. 이렇게 디자인 고대로 써도 되는건가요?? [18] file 2014.08.12 by Garon
사랑해요XE 네이버 사이트 검색에서 사이트명 아래에 메뉴들은 어떻게해야 나오는걸까요? [1] file 2014.08.11 by oscarmike
하이하이v 회원이 획득하는 포인트 관리할 방법이 없네요. [3] 2014.08.11 by AJKJ
그냥재미로 기가 웹뷰, 기가 알림센터 베타테스터 모집 [11] file 2014.08.10 by GitBox
SeungXE 여러분의 XE 사용/개발 타입은? [28] 2014.08.09 by 산하2
Lansi 룰셋이 클라이언트 사이드에서도 동작하네요 [4] 2014.08.08 by Lansi
정도길 2014~ 이후 최근 트렌드하는 레이아웃?형태좀 알수 있을까요?  
BJ람보 출석부 모듈에 필요한 기능은? [19] 2014.08.07 by 블룬
oscarmike 호스팅이용하시는 웹마스터님들 SSL 어찌하고 계신가요.. [26] 2014.08.07 by LI-NA
Paul 러시아 해커들이 12억건이나 Username/Password 빼갔다는 뉴스 보셨죠? [1] 2014.08.07 by Paul
DRAWHOLIC 최근 로그인한 시각 표시 [31] 2014.08.07 by airbogo
애니즌 최근 에디터 컴포넌트 속성이 제거되어 사용이 제대로 되지 않는 분들 참고하세요..! [13] 2014.08.06 by 애니즌
이온디 shopXE라는게 뭔가 구체적으로 진행되었었군요!! [2] 2014.08.06 by 키스투엑스이
oscarmike 글 양식이 필요할때 유용한 에드온 [SXE 글 양식 에드온] file  
이즈야 코어 이슈인 줄 알았던 보안취약점... [10] 2014.08.04 by IOZ
태그 쓰기