묻고답하기
XE 1.4.5.13 XSS 취약점(스샷첨부).
2012.09.06 22:16
XE 1.4버전에 대해서 지금까지 보안조치 해주신 내용중에 XSS에 대한 내용들이 있는 것으로 알고있는데,,
파일명이나, 태그등에 내장된 XSS말고, URL에서 직접 치고 들어가는 XSS
(http://x.x.x.x/xe/?mid=notice&category='"--></style></script><script>alert(0x000640)</script>)
의 경우에는 XSS방어가 안되는 것 같습니다.(제 생각입니다..)
실제로는 위협은 없다지만, 취약점 분석툴로 스캔이 되는 내용이기 때문에
이 부분은 실행이 안되게 꼭~ 수정되어야 합니다.
도움 부탁 드립니다.
-----------------------------------------------------------------------------------
참고로
func.inc.php안에
_isHackedSrc함수가 있던데
그 함수에서 preg_match를 이용해서 연속된 작은따옴표, 큰따옴표를 걸러내면 될 것 같아요
제가 해봤는데 아예 모든 작은따옴표가 걸러져 버려서 게시판이 안보이는데
해결이 가능 할까요? 혹은 예제 코드 부탁드립니다.
---------------------------------------------------------------------------------------------
아~ 뭔지 알겠네요.
하지만 그건 자신에게만 영향을 미치므로 보안상 아무런 문제가 없으니 안심하셔도 되요~
설령 링크를 건다 해도 모두 <와 >로 치환되어 버리니...