묻고답하기

  2. Support
  3. 묻고답하기

XE 1.4.5.13 XSS 취약점(스샷첨부).

2012.09.06 22:16

라리사

XE 1.4버전에 대해서 지금까지 보안조치 해주신 내용중에 XSS에 대한 내용들이 있는 것으로 알고있는데,,

 

파일명이나, 태그등에 내장된  XSS말고, URL에서 직접 치고 들어가는 XSS

(http://x.x.x.x/xe/?mid=notice&category='"--></style></script><script>alert(0x000640)</script>)

 

의 경우에는 XSS방어가 안되는 것 같습니다.(제 생각입니다..)

 

실제로는 위협은 없다지만, 취약점 분석툴로 스캔이 되는 내용이기 때문에

 

이 부분은 실행이 안되게 꼭~ 수정되어야 합니다.

 

도움 부탁 드립니다.

 

 

 

-----------------------------------------------------------------------------------

참고로

 

func.inc.php안에

 

_isHackedSrc함수가 있던데

 

그 함수에서 preg_match를 이용해서 연속된 작은따옴표, 큰따옴표를 걸러내면 될 것 같아요

 

제가 해봤는데 아예 모든 작은따옴표가 걸러져 버려서 게시판이 안보이는데

 

해결이 가능 할까요? 혹은 예제 코드 부탁드립니다.

---------------------------------------------------------------------------------------------

이 게시물을
좋아요
목록
글쓴이 제목 최종 글
XE 공지 글 쓰기,삭제 운영방식 변경 공지 [16] 2019.03.05 by 남기남
soonmi0902 아이디에 특수문자를 포함하는 방법 문의합니다.  
타우렌힐농장 DB에 직접 입력된 정보 검색 [1] 2020.03.14
페루sln 이런 사이트는 뭐로 만드는건가요? [1] 2012.09.06 by CM
asdfsa 새덧글 색상 달라지게 하려면? [1] 2012.09.06 by 인터니즈™
쌩초짜의역습 1.5.1.13 텍스타일 패키지 설치시 mssql 선택이 안됩니당...ㅠ [1] 2012.09.06
하늘종 댓글 작성자의 회원추가정보 불러오기 [1] file 2012.09.06 by 송동우
열받네 contact 설치 후 에러-신청서나 주문서 설치 문의  
Happiness the result is not valid xml 로그인시 file  
ringring 송동우님, 익명 댓글 뒤에 번호달기를 해봤는데요. file  
노튼 작성글 보기하면 에러가  
multi_multi mysql과 mssql 혼용사용이 가능한가요??  
라리사 XE 1.4.5.13 XSS취약점 해결 [3] 2012.09.06 by CMD
xe_마니 메인메뉴와 2차 하위메뉴 도움부탁 드립니다  
스운223 코어 업데이트가 안됩니다... (mid 404 및 각종 에러) [1] 2012.09.06 by 스운223
스운223 관리자 서브메뉴 사라짐 + 설치된 레이아웃 안보임 [1] 2012.09.06 by 스운223
나탈ㄹ리아 제로보드4와 연동할수는 없나요?  
비비크림 외부페이지에서 로그인을 하면 SUCCESS 라는 페이지가 뜹니다. 로그인후 페이지이동을 메인으로 바로가게할순 없나요?  
남자인간 섬네일 gif(욺직이는 이미지) 파일 지원하게는 못하나요?  
leest032 신청서 양식같은거 어떻게 만드나요?(예시첨부) file  
THEOTHERS SocialXE server -설치오류 무슨문제일까요... [1] 2012.09.05 by 윈컴이
태그 쓰기