묻고답하기
제로보드4 xss취약점이요~
2019.10.15 08:27
취약점 해결을 해야하는데 vote.php 파일 취약점 발견됐다고 처리해달라고 하는데요.
vote.php 파일 소스 아래 올려봅니다.
xss 취약점 해결을 어찌하면 되는지요?
도와주세요 ㅠ ㅠ
<?
/***************************************************************************
* 공통파일 include
**************************************************************************/
include "_head.php";
/***************************************************************************
* 설정 체크
**************************************************************************/
// 사용권한 체크
if($setup[grant_view]<$member[level]&&!$is_admin) Error("사용권한이 없습니다","login.php?id=$id&page=$page&page_num=$page_num&category=$category&sn=$sn&ss=$ss&sc=$sc&keyword=$keyword&no=$no&file=zboard.php");
// 현재글의 Vote수 올림;;
if(!ereg($setup[no]."_".$no,$HTTP_SESSION_VARS["zb_vote"])) {
mysql_query("update $t_board"."_$id set vote=vote+1 where no='$no'");
$vote_str = "," . $setup[no]."_".$no;
// 기존 세션 처리 (4.0x용 세션 처리로 인하여 주석 처리)
//$HTTP_SESSION_VARS["zb_vote"] = $HTTP_SESSION_VARS["zb_vote"] . $vote_str;
// 4.0x 용 세션 처리
$zb_vote = $HTTP_SESSION_VARS["zb_vote"] . $vote_str;
session_register("zb_vote");
}
// MySQL 닫기
if($connect) mysql_close($connect);
// 페이지 이동
if($setup[use_alllist]) $temp_href="zboard.php"; else $temp_href="view.php";
movepage("$temp_href?id=$id&page=$page&page_num=$page_num&select_arrange=$select_arrange&desc=$des&sn=$sn&ss=$ss&sc=$sc&keyword=$keyword&category=$category&no=$no");
?>
단순히 vote.php 파일 하나를 수정해서 해결될 문제가 아닌 상황입니다.
(zboard.php 및 /include 폴더에 있는 파일, 그외 몇개인가 파일들을 더 수정해야 되는 것으로 기억합니다.)
또한 수정을 완료해서 vote.php 에 xss 보안을 했다고 해도,
제로보드4 는 더이상의 업그레이드가 중단된 상태이므로, 보안을 장담할 수 없는 상태입니다.