묻고답하기

  2. Support
  3. 묻고답하기

XE 1.4.5.13 XSS 취약점 보완(계속)

2012.09.07 15:50

라리사

XE 1.4버전에 대해서 지금까지 보안조치 해주신 내용중에 XSS에 대한 내용들이 있는 것으로 알고있는데,,

 

파일명이나, 태그등에 내장된  XSS말고, URL에서 직접 치고 들어가는 XSS

(http://x.x.x.x/xe/?mid=notice&category='"--></style></script><script>alert(0x000640)</script>)

 

의 경우에는 XSS방어가 안되는 것 같습니다 

 

그래서 제가

 

func.inc.php안에 xss_cleaner_new()라는 함수를 추가해서

('" 를 발견하면 다른 문자로 치환)

 

function xss_cleaner_new($input_str){
   $return_str = preg_replace('/"\'/','&l', &input_str);
   return $return_str;
}
 
원래있던 getUrl() 함수에
 $args_list=Context::xss_cleaner_new($args_list);
를 추가했습니다만,, 이랬더니 XSS는 막아지는데, 게시판이 아예 안들어가지더라구여ㅜㅜ(깨져서 나옵니다.)
 
붙임파일 참고 바랍니다.
 
해결방법이 없을까여?
 
 
이 게시물을
좋아요
목록
글쓴이 제목 최종 글
XE 공지 글 쓰기,삭제 운영방식 변경 공지 [16] 2019.03.05 by 남기남
라리사 XE 1.4.5.14 -> XE 1.5.3.1 업데이트 후 게시판 깨짐 file  
비비크림 포인트 관련 문의드립니다. 0~29 포인트는 기본그룹에서 안벗어나게 하고싶습니다. file  
비비크림 회원관리에서 레벨 검색을 하고싶습니다. file  
라리사 XE 1.5에서 가입폼 관리 하위 메뉴가 안보일때 file  
SCAC $oContext->init();  
천민수 로그인이 안되는 문제가 있습니다. file  
익명 댓글에 번호매기기 추가 질문이에요 [1] 2020.03.14 by BNU
url단축 url단축사이트구축 형님들제발 포인트매우많음  
Ansi™ 다운로드 랭킹 위젯에서 게시물 제목 추가 질문입니다.  
saiph 문서페이지나 위젯페이지는 어디서 만드나요? [2] 2012.09.07 by 윈컴이
비비크림 비밀글로 잠구고 특정그룹만 보게 하고싶어요;ㅅ; [1] 2012.09.07 by 궁금궁금궁금이
공씨 게시판 수정에 대한 질문입니다.  
CUPA 질문입니다. 도와주세요 !  
papiano 수고하십니다~ 바쁘시겠지만 부탁드립니다~ file  
노튼 모바일 컨텐츠 위젯에서  
오락실주인 위젯페이지 제작 [1] 2012.09.07 by KANTSOFT
요셉님 getUrl 함수는 어디서 처리하나요? 그리고 결과가 왜 상이한가요?  
nonserial eh_jwplayer 질문  
KANTSOFT 모듈 개발시 DB table에..xe_modules 에 module등록이 꼭 되어야 하는지요? [2] 2012.09.07 by 푸시아
라리사 XE 1.4.5.13 XSS 취약점 보완(계속) file  
태그 쓰기