묻고답하기
XE 1.4.5.13 XSS취약점 해결
2012.09.05 23:08
안녕하세요
현재 사정상 XE 1.5는 업그레이드가 불가한 상황입니다.
따라서 현재 XE 1.4.5.13을 적용해서 사용중인데
취약점 분석 소프트웨어를 돌려보니 XSS취약점이 나오네요...
예를들면
http://x.x.x.x/xe/?mid=notice&category='"--></style></script><script>alert(0x000640)</script>
빨간색 부분이 실행되면 안되는데 스크립트가 실행되어 버리네요
그래서 인터넷 찾아보니 AntiXSS.php를 적용하면 된다고해서
/xe/modules/module/module.view.php파일에
$mid_list=AntiXSS::setFilter($mid_list, "whitelist",string");
.
.
.
이런식으로 mid_list, selected_module, module_category_exists,selected_mids에 적용했는데
계속 같은 XSS취약점이 나오네요,,
어떻게 적용해야 할까요?
PS. AntiXSS.php 파일은 /xe/modules/module 폴더에 넣고
require_once('AntiXSS.php');로 등록했습니다.
댓글 3
-
라리사
2012.09.06 07:04
이상하네요 저는 분명 버전이 1.4.5.13인데 실행이 되네요ㅜㅜ 방법이 없을까요? -
라리사
2012.09.06 07:43
관리자 권한으로 로그인 안했는데도 실행이 되요. 1.4.5.13을 그냥 /xe 폴더에 덮어씌워서 그런걸까요? -
사이트 주소 알려주시면 테스트해 볼께요~
-
라리사
2012.09.06 07:47
감사합니다.. 근데 내부망이라서요ㅜㅜ 테스트는 힘들것 같아요 -
라리사
2012.09.06 07:48
혹시 윈도우 창에 주소를 넣었을때 어떤 코드가 주소를 받아서 처리하는지 알 수 있을까요? 그걸 알면 해결할 수 있을것 같아요 -
그런데 여기서도 같은 문제가 있나요?
-
라리사
2012.09.06 09:13
?mid=notice&category='"--></style></script><script>alert(0x000640)</script> 여기서 mid=notice&category 부분만 해당 사이트에 맞게 바꾸면 문제가 생길겁니다. -
라리사
2012.09.06 11:43
func.inc.php안에 getUrl함수를 수정하면 될 거 같은데 한번 봐주세요
저는 실행 안되는데요?
혹시 관리자 아이디로 로그인한 상태에서 진행하셨나요?
여기서 테스트 해보세요~
http://xzet.tk/