묻고답하기

  2. Support
  3. 묻고답하기

XE 1.4.5.13 XSS취약점 해결

2012.09.05 23:08

라리사

안녕하세요

 

현재 사정상 XE 1.5는 업그레이드가 불가한 상황입니다.

 

따라서 현재 XE 1.4.5.13을 적용해서 사용중인데

 

취약점 분석 소프트웨어를 돌려보니  XSS취약점이 나오네요...

 

예를들면

http://x.x.x.x/xe/?mid=notice&category='"--></style></script><script>alert(0x000640)</script>

 

빨간색 부분이 실행되면 안되는데 스크립트가 실행되어 버리네요

 

그래서 인터넷 찾아보니 AntiXSS.php를 적용하면 된다고해서

 

/xe/modules/module/module.view.php파일에

 

$mid_list=AntiXSS::setFilter($mid_list, "whitelist",string");

.

.

.

이런식으로 mid_list, selected_module, module_category_exists,selected_mids에 적용했는데

계속 같은 XSS취약점이 나오네요,,

 

어떻게 적용해야 할까요?

 

PS. AntiXSS.php 파일은 /xe/modules/module 폴더에 넣고

require_once('AntiXSS.php');로 등록했습니다.

이 게시물을
좋아요
목록
글쓴이 제목 최종 글
XE 공지 글 쓰기,삭제 운영방식 변경 공지 [16] 2019.03.05 by 남기남
졸라맨 쪽지보내기창 수정문의 [2] 2014.03.22 by W.O
eric79won xe/files/cache 폴더에 있는것들 지워도 되나요? [3] 2014.03.22 by W.O
eric79won 도메인 리뉴얼후 500 internal server error [1] 2014.03.22 by W.O
졸라맨 회원정보보기에 메뉴 추가하는 방법 [1] 2014.03.22 by W.O
콩까기 이미지 리사이즈 애드온 질문드립니다. [1] 2014.03.22 by W.O
생까는즐거움 NAVER Analytics네어버에서 연동이 안된다고 답변이 왔어요 [1] 2014.03.22 by W.O
졸라맨 통합검색 수정 문의 [1] 2014.03.22 by W.O
lord 인증메일 재발송 문제 에러 file  
zeneger 모바일 게시판에서 제목이외에 확장변수로 만든 다른것으로 바꿀수 없나요? [1] 2014.03.22 by 키스투엑스이
기쁨넘어영광 이 사이트에서 쓰는 제로보드 게시판이 뭔지 알려주세요 ^^ [4] 2014.03.22 by 기쁨넘어영광
zeneger 모바일 게시판에서 제목이외에 확장변수로 만든 다른것으로 바꿀수 없나요?  
sirisic 포인트복권 어떻게 사용하나여?  
eric79won 도메인 사용기간 지나서, 다시 샀는데...홈페이지 빈페이지 뜨네요... [5] 2014.03.22 by 외인
dwdw db복구 하는방법 [1] 2014.03.21 by 나이스가이™
아뜰리에80 도와주세요 ㅠㅠ 첨부파일 버튼 먹통현상. [12] 2014.03.21 by Sellhobby
모이어 위젯페이지에서 "내용직접추가"로 이미지에 usemap 안되네요! [2] 2014.03.21 by 모이어
맥문동 if와 cond문을 이렇게 같이 사용해도 될까요? [1] 2014.03.21 by sejin7940
기쁨넘어영광 게시판 글이 안보여요.. [4] 2014.03.21 by 기쁨넘어영광
TakeUrban 에디터에 폰트 추가 [1] 2014.03.21 by 조인잡
맥문동 if 조건문을 어떻게 해야 하는지 혹시 아시는 분 계시면 도움 말씀 좀 부탁드립니다. [2] 2014.03.21 by 맥문동
태그 쓰기