포럼

  2. Support
  3. 포럼

코어 이슈인 줄 알았던 보안취약점...

2014.08.03 13:50

이즈야

오늘 한 유저가 게시글에 자바스크립트를 삽입해 출력에 성공하는 일이 있었습니다.

완전 깜짝 놀라서 바로 증상 진단에 나섰는데...


카르마님의 이미지 자동출력 애드온 사용하시는 분 많으실 거 같은데요.

게시글 제목에 스크립트 태그를 넣어버리면 이 애드온에 의해 자바스크립트가 삽입되는 버그가 있었습니다.

예) 제목: <body><script>alert("안녕하세요!")</script></body>


애드온 구조를 보니까 DB에서 직접 게시글 정보를 가져오더라구요.

그런데 DB에 저장되는 게시글 제목은 removeHackTag를 거치지 않는 모양이더라구요.

DB를 보니까 제목란에 태그가 그대로 들어가있네요~


카르마님의 이미지 자동출력 애드온에서는 img alt 부분에 게시글 제목을 넣도록 되어 있었습니다.

그런데 DB에 저장되는 제목이 태그가 삭제되지 않은 채로 들어가다보니 본문에 허용되지 않은 태그를 넣을 수 있었던 거죠.

임시방편으로 최고관리자가 아니면 removeHackTag를 거치도록 수정해뒀는데... 코어 자체에서도 게시글 삽입 시 제목 부분의 태그를 삭제해줄 필요가 있을 거 같아요.


깃허브 이슈 준비하려다가... 서드파티 애드온의 이슈라서 이슈 준비는 그만뒀는데, 어쩔까요...?

이 게시물을
Profile

늘 배우는 자세로.

좋아요
목록
글쓴이 제목 최종 글
oscarmike 워터마크에 대해 여쭈어볼게 있습니다. [6] 2014.08.18 by oscarmike
ms.kim 게으르게 만들어보고 있는 지도 컴포넌트 입니다. [9] file 2014.08.17 by 데벨
Double'U' 네이버에서 공개한 챠트 소스  
별을사랑했네 RSS 게시판 업데이터 모듈사용가능하게 좀 해주시면 감사하겠습니다. [8] 2014.08.16 by 별을사랑했네
socialskyo 스케치북 게시판이 업데이트 되었어요 [2] 2014.08.14 by DoorWeb
uoou 나눔 고딕 폰트가 갑자기 안되시는분? 혹시 계시나요? [5] 2014.08.14 by LI-NA
콩까기 홈페이지에 지속적으로 악의성글을 올리는경우 .. [1] 2014.08.14 by GG
POSTZI XE 회원가입문제 [4] 2014.08.12 by POSTZI
GitBox MYXE :: 안드로이드용 XE 푸시앱 [3] file 2014.08.12 by MYXE
기진곰 비번 암호화 방법 개선에 대해 이슈를 등록했습니다. [20] 2014.08.12 by Garon
로보. 이렇게 디자인 고대로 써도 되는건가요?? [18] file 2014.08.12 by Garon
사랑해요XE 네이버 사이트 검색에서 사이트명 아래에 메뉴들은 어떻게해야 나오는걸까요? [1] file 2014.08.11 by oscarmike
하이하이v 회원이 획득하는 포인트 관리할 방법이 없네요. [3] 2014.08.11 by AJKJ
그냥재미로 기가 웹뷰, 기가 알림센터 베타테스터 모집 [11] file 2014.08.10 by GitBox
SeungXE 여러분의 XE 사용/개발 타입은? [28] 2014.08.09 by 산하2
Lansi 룰셋이 클라이언트 사이드에서도 동작하네요 [4] 2014.08.08 by Lansi
정도길 2014~ 이후 최근 트렌드하는 레이아웃?형태좀 알수 있을까요?  
BJ람보 출석부 모듈에 필요한 기능은? [19] 2014.08.07 by 블룬
oscarmike 호스팅이용하시는 웹마스터님들 SSL 어찌하고 계신가요.. [26] 2014.08.07 by LI-NA
Paul 러시아 해커들이 12억건이나 Username/Password 빼갔다는 뉴스 보셨죠? [1] 2014.08.07 by Paul
태그 쓰기