포럼

우편번호 모듈 1.10.0 (다음 API 주소 변경 반영)

YJSoft — Thu, 14 May 2026 11:32:10 +0900

krzip-1.10.0.zip

변경사항은 다음과 같습니다.

다음측 API 주소 변경 반영
우편번호 6자리 설정 삭제(API에서 더이상 지원하지 않으므로 설정하는 의미가 없습니다)
Postcodify 지원 추가

마지막 XE 버전인 XE 1.11.6 버전에는 XSS, RCE, SSRF 취약점, 타인의 쪽지를 열람 가능한 취약점, 타인의 게시물에 무단으로 첨부 및 타인의 첨부파일을 무단으로 삭제할수 있는 취약점 등 방치하면 심각한 문제가 되는 취약점이 많습니다. 한시 빨리 라이믹스 등 잘 유지보수되는 포크 버전으로 전환하거나 여의치 않다면 비공식 업데이트 버전인 1.11.20 버전을 적용하시는것을 권장드립니다.(위 패치된 모듈이 포함되어 있습니다)

해린 사진을 모아두는 사이트를 만들어 보았습니다.

강해린 — Thu, 21 Sep 2023 17:31:29 +0900

xe로 웹개발을 시작해서 시간이 꽤 흘렀는데요

이제 자체 제작 사이트를 만들어 보았습니다.

사이트 제목은 해린 네트워크라고 뉴진스의 해린 사진을 모아두는 웹사이트입니다.

단순하지만 열심히 만들었습니다.

https://haerin.network

한번 구경삼아 봐주시면 감사하겠습니다 ㅎㅎ

[보안패치] XE 1.11.13 버전 배포 안내

XE — Thu, 14 Sep 2023 17:55:24 +0900

XE 비공식 보안패치인 1.11.13 버전을 공개합니다. 이 버전은 비정기 긴급 버전으로 다음 보안취약점에 대한 패치가 포함되어 있습니다. 참고로 이 글 역시 보안 취약점을 이용해 작성되었습니다. 악용을 막기 위해 상세 방법은 공개하지 않습니다.

XE팀은 그동안 보안취약점 제보에 대해 모두 무시로 일관하는등 굉장히 무성의한 대응을 보여왔습니다. 원칙상 허가 없는 취약점 테스트는 불법이나, 불법행위로 인해 받는 피해보다 이로 인해 타 사이트가 입을 해킹피해가 훨씬 큰 만큼 부득이하게 사용하는점 많은 양해 바랍니다.

보안 취약점

보안 취약점 이외 개선사항

도움말 삭제 및 외부 페이지로 변경 @YJSoft
- 업데이트 이후 admin/help 폴더는 더이상 사용되지 않으니 삭제해도 무방합니다.
- 이후 비정기 업데이트시 도움말 링크 자체를 삭제할 예정입니다.

주의사항

XE는 사실상 업데이트 중단 상태입니다. 공식 발표되지 않았을 뿐 2020년 이후 어떠한 업데이트도 이루어지지 않고 있습니다. 포크 버전인 Rhymix에서 발생한 취약점 중 XE에서도 해당하는 것들은 패치가 이루어질 가능성이 있으나, XE에만 존재하는 취약점은 빠르게 패치되지 못할 가능성이 큽니다.

이번 보안 취약점은 심각한 취약점으로 지원 종료와 무관하게 패치가 진행되었지만 이후 취약점은 패치가 되지 않을 수 있습니다. 한시 빨리 Rhymix 등 잘 유지보수되는 버전으로 업그레이드하시기 바랍니다.

다운로드

전체 릴리즈 (zip)
전체 릴리즈 (tar.gz)
변경사항 압축파일은은 별도 공지가 있기 전까지 제공 중단됩니다.

대구지역 개발자 모임

듀니콘 — Thu, 26 Jan 2023 17:05:17 +0900

대구 개발자, 디자이너, 마케터 모임을 하려고 합니다.

각 종목에서 서로 필요한 요소와 재능을 가지고 있다고 생각되어 다 모아보려고 합니다.

저도 찾아보다가, 대구에는 이런모임이 필요한데도 너무 없는 것 같아서 만들어 보았습니다.

모임이름은 '듀니콘'입니다. 서로 오프라인으로 모여서

정보교환,명함교환,창업정보,연봉협상,외주공유 등 관심있는 모든 교류 할 수 있는 시간을 가졌으면 좋겠습니다.

[신청방법]

- 홈페이지 접수 : https://dunicorn.imweb.me/party (~02/06까지)

[모임일시]

- 2023.02.08 (수요일) 오후 7~9시

[모임장소]

- 반월당or동대구역 근처 (참석자대상 공지 예정)

[듀니콘 소개]

- 대구에서 성공하고싶은 사람들이 힘을 모아 만든 모임으로,

대구의 인재들을 모으기 위해 시작한 프로젝트입니다.

개발자/디자이너/마케터 등의 직종에서 서로서로 교류를 하며

더 나은 삶을 위해 독서, 토론, 회의 등을 진행하는 모임입니다!

[모집대상]

- 대구에서 취업/창업을 준비하시는 분

- 개발자/디자이너/마케터 등의 종목에서 실무자의 경험을 듣고싶으신 분

- 같은 분야의 직종으로 교류를 원하시는 분

- 스타트업 멤버를 찾고계시는 분

- 대구에서도 충분히 성장하고싶으신 분

[활동 내용]

-1분 자기소개

-최신 스타트업 정보 공유

-22년도 연봉협상 성과&노하우 나누기

-명함 교환

-그외 사항 홈페이지 참고

[혜택]

- 실무자들의 경험 및 노하우 전수

- 다양한 교류를 통한 인맥 상승

[문의사항]

- jr940923@gmail.com으로 문의 바랍니다.

아프리카tv 위젯 색 변경 css 도와주실분???

ssssssc1 — Thu, 17 Nov 2022 15:56:48 +0900

아프리카tv 위젯 색 변경 css 도와주실분???

이런 사이트도 언론사처럼 만들 수 있나요?

지식사이트 — Sat, 23 Jul 2022 22:33:11 +0900

https://jisik.site 언론사처럼 만들고 싶은데 하다가 포기하고 나둔 상태인데 가능할까요? 비쌀까요?

XE 1.11.6 버전 취약점 정리

YJSoft — Wed, 20 Jul 2022 16:13:17 +0900

아래 취약점 목록 중 상세 내용이 공개된 취약점은 패치 공개 이후 2개월 이상이 지난 것들입니다. 발견 이후 2개월이 지나지 않은 취약점 정보는 악용 방지를 위해 공개하지 않습니다.

1. 게시판 API를 통해 익명글의 작성자를 유추할 수 있는 문제(치명도: 낮음) - 2021년 6월 패치 공개
XE에는 게시판 API가 존재합니다. 이를 이용하면 글 작성자나 내용만 추출할수 있는데요, 익명글의 경우 API를 통해 조회시 익명처리가 부실하게 이루어지는 관계로 회원번호를 확인할수 있게 됩니다. 수정법은 회원번호가 음수일때 0으로 변경하는 것입니다.

2. 다국어 문서 수정시 HTML 필터링이 이루어지지 않음(치명도: 심각) - 2022년 2월 패치 공개
XE는 다국어 지원을 위해 확장변수 시스템을 사용했습니다. 글이 작성된 언어와 다른 언어 상태에서 수정시 원문은 그대로 두고 해당 언어의 글 본문을 저장하는 방식입니다. 문제는, 다국어 글 저장시 일반 글 작성시과 달리 태그 필터링 과정을 일체 거치지 않는 점입니다. 따라서 일반 회원이 임의 스크립트를 글에 삽입할 수 있습니다. alert를 띄우는 것부터 세션 아이디 탈취까지 가능합니다.(특히 XE는 기본적으로 세션ID에 httponly를 걸지 않아 document.cookie 로 접근 가능합니다) 수정법은 예상하셨듯이 다국어 글 작성시에도 필터링을 적용하는 것입니다.

참고로, 다국어 기능을 끄는 것은 아무 상관 없습니다. XE는 다국어 지원을 끄더라도 언어를 강제로 변경할 수 있으므로 취약점 악용이 가능해지게 됩니다.

심각성을 느끼실수 있도록 공식사이트에서 실험한 결과를 공개합니다. 현재 해당 글은 삭제했으며, 작성된 글에는 alert 스크립트 외 작성한것은 없었다는점 밝힙니다.

3. 외부페이지를 통한 RCE 취약점(치명도: 영항없음 ~ 보통 ~ 심각) - 2022년 3월 패치 공개
XE에는 외부페이지라는 기능이 있습니다. 이 기능은 일반 PHP 파일 형태로 페이지를 작성해 실행할수 있게 합니다. 예전 zb4 시절 프레임으로 작성한 뒤 로그인 폼이나 로그인 정보 페이지를 인클루드하던 것을 생각해 보시면 이해가 조금 더 빠르실겁니다. 외부페이지 실행 과정은 다음과 같습니다.

1. 외부페이지를 PHP로 해석합니다.
2. 1번 결과물을 그대로 XE 템플릿으로 해석합니다.
3. 2번 결과물을 출력합니다.

눈치가 빠르신 분들은 어디가 문제인지 아실수 있으실겁니다. 네. 1번 외부페이지를 PHP로 해석한 결과를 아무 의심없이 템플릿으로 해석하면서 문제가 생깁니다. 예를 들어, PHP 파일이 다음과 같다고 가정합니다.

echo Context::get('userval1');

위 파일은 사용자가 보낸 GET 파라메터중 userval1이란 값을 출력해주고 있습니다. 필터링이 없어 불안해 보이지만? XE에서 기본적인 필터링은 해주고 있어 문제는 없습니다. 아니, 없었습니다.

여기에 악성 사용자가 다음 요청을 보냅니다.

사이트주소/?index.php?mid=outerpage&userval1={echo($string)}&string=foobar

userval1에 문제가 되는 내용은 없으니 필터링에도 살아남습니다. string 역시 마찬가지입니다. 1차 해석을 마친 상태는 다음과 같을겁니다.

{echo($string)}

이제 템플릿 엔진이 동작합니다. 템플릿 엔진은 중괄호가 원래 있던것인지 사용자가 입력한 것인지 구분할수 없으므로 그대로 실행합니다. 또한, 템플릿 엔진에서 변수를 바로 사용하면 사용자 요청의 값을 그대로 사용하니 결과적으로 echo('foobar'); 가 실행됩니다. 지금 예제에서는 단순 화면 출력 함수를 실행했지만 여기에 다른 함수를 실행한다면? 끔찍한 일이 생길겁니다.

하지만 다행히 외부 페이지를 일체 사용하지 않는다면 취약점에도 노출되지 않습니다. 설령 외부페이지가 있다 해도 사용자가 입력한 값을 출력하지 않으면 문제가 되지 않습니다.(예를 들어 회원정보만 얌전히 읽어 처리하는 페이지라던가) 따라서 치명도 역시 영향없음(외부페이지 미사용) / 보통(외부페이지 사용하나 사용자 입력값 미출력) / 심각(외부페이지 사용하며 사용자 입력값도 표시)로 나눠 기재했습니다.

수정법은 해석 순서를 PHP->템플릿 에서 템플릿->PHP로 변경하는 것입니다. 위 예시대로라면 1단계 처리뒤

echo Context::get('userval1');

가 되고 2단계 처리후

{echo($string)}

가 됩니다. 혹은 그냥 템플릿 해석을 중단해버릴수 있습니다. 두번째 방법(템플릿 해석 중단)을 사용한 패치가 공개되어 있습니다.

4. 설문조사 스킨 경로 조작을 통한 RCE 취약점(치명도: 보통 ~ 심각) - 2022년 7월 패치 공개
공개된지 2달이 지나지 않은 취약점이라 상세 내용은 공개하지 않습니다. 수정법은 skin이나 colorset 변수에 폴더명으로 사용 불가능한 문자를 모두 제거하는 것입니다. 취약점 특성상 윈도우 서버에서만 공격이 가능하므로 치명도 역시 보통(윈도우 서버 미사용) / 심각(윈도우 서버 사용)으로 나눠 기재했습니다.

혹시 conory 아이템샵 모듈 쓰는분 잇나요?

케이엑스 — Mon, 13 Jun 2022 13:21:09 +0900

혹시 가지고 잇거나 보유중이라면 공유내지는 저렴하게 구매하고 싶습니다

sungsuh15@gmail.com 연락주세요

링크가 열리지 않고, index.php 파일이 다운로드 되는 문제...

humb**** — Fri, 15 Apr 2022 16:14:11 +0900

서버 호스팅 업체 쪽에서 php 구버전을 더이상 지원해 주지 않는 관계로, 1.8에서 최신버전으로 업데이트를 마쳤습니다.

서버에서는 이미 동작하지 않는 상태이기에, 로컬 PC에서 php 구버전을 설치하고 문제를 해결한 뒤, 정상동작하는 것을 확인하고서 서버에 올렸는데, 웹사이트 링크를 클릭할 때에 링크가 열리지 않고, index.php 파일이 다운로드 됩니다.

서버에 파일을 올린 이후, 캐시파일 재성성을 했는데, 이것이 원인 인 듯 싶기도 한데... 해결한 방안은 알 수 없네요.

어떻게 해결해야 할까요?

오랜 숙원인 유튜브 정복을 위해서.

canadaescortshub — Sat, 05 Feb 2022 22:51:18 +0900

오랜 숙원인 유튜브 정복을 위해서...-_-

calgary local escorts

에디터 컴포넌트가 어떻게 만들어야 하는 지는 일단은 모릅니다만....ㅋㅋ

우선 일반 페이지로... 유튜브 api를 이용해서... 만들어 봤습니다.

xe에서 직접 php가지고 홈페이지 만들기로 넘어갑니다

himan — Wed, 15 Dec 2021 16:37:24 +0900

xe거의 모든버전 다 설치해보고 홈페이지 구동하다가 단독php 웹사이트로 전환합니다. xe덕분에 php공부도 된 것 같네요.

오랫만에 XE사이트 로그인해 들어왔더니

제이엔지 — Wed, 13 Oct 2021 22:46:37 +0900

오늘 오랫만에 XE사이트 로그인해 들어왔더니
포럼게시판 첫페이지에 9월달부터 올려진 스팸글로 가득하네요.
제가 이 글 쓴 이후에라도 깨끗하게 싹 지워졌으면 합니다.
아직 XE사용자들 많고 어쩌다 찾아오는 분들도 계신데....

잘지내시죠?

BJ람보 — Wed, 03 Feb 2021 15:26:38 +0900

다들 보고 싶네요 :)

xe1 공식사이트 회원정보수정 문제

아진검 — Wed, 23 Dec 2020 09:26:04 +0900

1회 수정은 되는데

2번째 수정부터는 비밀번호를 묻더니 인증도 안됩니다.

회원정보 바꿀 기회가 하루 한번뿐인가요

안녕하세요 버전문제로 질문 드리려고 합니다.

hoguda — Tue, 17 Nov 2020 13:48:47 +0900

현재 회사에서 사용하고 있는 사이트의 버전이 1.4.5.7 로 확인되었습니다.

플래쉬 종료 문제로 업데이트를 해야될 것 같은데 , 현재 버전에서 최신버전으로 한번에 업데이트 하면

발생되는 오류가 있을까요 ?

php 개발자도 아니고 버전이 오래되서 걱정이 되어 질문드립니다.