묻고답하기

  2. Support
  3. 묻고답하기

XE 1.4.5.13 XSS 취약점 보완(계속)

2012.09.07 15:50

라리사

XE 1.4버전에 대해서 지금까지 보안조치 해주신 내용중에 XSS에 대한 내용들이 있는 것으로 알고있는데,,

 

파일명이나, 태그등에 내장된  XSS말고, URL에서 직접 치고 들어가는 XSS

(http://x.x.x.x/xe/?mid=notice&category='"--></style></script><script>alert(0x000640)</script>)

 

의 경우에는 XSS방어가 안되는 것 같습니다 

 

그래서 제가

 

func.inc.php안에 xss_cleaner_new()라는 함수를 추가해서

('" 를 발견하면 다른 문자로 치환)

 

function xss_cleaner_new($input_str){
   $return_str = preg_replace('/"\'/','&l', &input_str);
   return $return_str;
}
 
원래있던 getUrl() 함수에
 $args_list=Context::xss_cleaner_new($args_list);
를 추가했습니다만,, 이랬더니 XSS는 막아지는데, 게시판이 아예 안들어가지더라구여ㅜㅜ(깨져서 나옵니다.)
 
붙임파일 참고 바랍니다.
 
해결방법이 없을까여?
 
 
이 게시물을
좋아요
목록
글쓴이 제목 최종 글
XE 공지 글 쓰기,삭제 운영방식 변경 공지 [16] 2019.03.05 by 남기남
나의해 고급스러운 흰색배경! [1] 2014.03.24 by KANTSOFT
Brav0 게시판 기능 문의 [3] 2014.03.24 by Brav0
GAIA100 게시판 글쓰기후 페이지이동  
boy2 캐시 설정 [2] 2014.03.24 by boy2
네니요 <? echo "".GJCharsetConverter($_REQUEST["title"], "EUC-KR"); ?> 이용.. 링크경로 알려주기 가능할까요? [8] file 2014.03.24 by 네니요
그래용 링크된 이미지가 깨지는 현상 문의드립니다. [5] 2014.03.24 by 다조아해
dgcs1004 로그인 방어 쉬운설치후 홈피가 먹통입니다. [2] file 2014.03.24 by dgcs1004
유샤인 새 버젼에 왜 이런 이상한 현상이 일어 날가요? 이거 핵커 당한 건가요? 해결책은 요? [4] 2014.03.24 by 유샤인
prologos 현재 페이지가 어느 메뉴인지 알아내기 [5] 2014.03.24 by 투씨
hong`s 업그레이드 문제입니다 [4] 2014.03.23 by hong`s
앙290 80포트 ->8080포트 후 로그인 불가 상태입니다. [2] 2014.03.23 by 앙290
MOA철 마이페이지 질문좀 드릴께요 [3] 2014.03.23 by Brav0
차밍 에디터가 자꾸만 비활성화 됩니다 [2] 2014.03.23 by 차밍
Brav0 마이 페이지 기능 가능한가요? [3] 2014.03.23 by Brav0
guitar9464 1.4->1.7 업 방법 고수님들께 부탁드립니다 [1] 2014.03.23 by DynamicLaser
고쇼 XE 싹 밀고 재설치후 회원가입 확장 애드온 문의 [2] 2014.03.23 by 고쇼
BESETO 메뉴 이름이나 링크를 바꾼 후, '확인' 을 눌러도 적용되지 않아요. [1] file 2014.03.23 by GG
눈키 게시판 바로 글쓰기시, 글자들이 한번에 안떠요. [5] file 2014.03.23 by 키스투엑스이
뀰귤 닉네임 클릭하면 뜨는 레이어가 자꾸 밑에 출력됩니다. ㅠㅠ 어떻게 해야 하나요? ㅠㅠ [10] file 2014.03.23 by 뀰귤
레망 XE Core 1.7.4 이상에서의 에러. [2] 2014.03.23 by 레망
태그 쓰기