묻고답하기

XE 1.4버전에 대해서 지금까지 보안조치 해주신 내용중에 XSS에 대한 내용들이 있는 것으로 알고있는데,,

 

파일명이나, 태그등에 내장된  XSS말고, URL에서 직접 치고 들어가는 XSS

(http://x.x.x.x/xe/?mid=notice&category='"--></style></script><script>alert(0x000640)</script>)

 

의 경우에는 XSS방어가 안되는 것 같습니다 

 

그래서 제가

 

func.inc.php안에 xss_cleaner_new()라는 함수를 추가해서

('" 를 발견하면 다른 문자로 치환)

 

function xss_cleaner_new($input_str){
   $return_str = preg_replace('/"\'/','&l', &input_str);
   return $return_str;
}
 
원래있던 getUrl() 함수에
 $args_list=Context::xss_cleaner_new($args_list);
를 추가했습니다만,, 이랬더니 XSS는 막아지는데, 게시판이 아예 안들어가지더라구여ㅜㅜ(깨져서 나옵니다.)
 
붙임파일 참고 바랍니다.
 
해결방법이 없을까여?
 
 
글쓴이 제목 최종 글
XE 공지 글 쓰기,삭제 운영방식 변경 공지 [16] 2019.03.05 by 남기남
라리사 XE 1.4.5.13 XSS 취약점 보완(계속) file  
딸기생크림 회원목록에서 특정 회원 감추기 [1] 2012.09.07 by 딸기생크림
xe_마니 게시판 영역 배경색상  
요셉님 모바일 게시판의 글보기가 동작을 안합니다. file  
아직없는닉 이미 쓰인 글들을 익명으로 바꾸고 싶습니다 [1] 2012.09.07 by 젠이
키스미베이베 DB에서 이메일삭제 쿼리좀 가르쳐주세요  
돌돌이돔 xampp + xe설치시 문제  
WongooN 오류가 뜨는데 어떻게 하면 해결 할 수 있을까요? 한번 봐주세요 ㅠㅠ  
동해물과백두산이마르고닳도록하느님이보우하사우리나라만세 코어 업데이트를 하면 에러가 납니다.  
asdwf 도와주세요ㅜ 갑자기 모든 페이지가 모듈제목만 뜨고 내용이 뜨질 않습니다 [2] file 2012.09.07 by asdwf
asdfsa 새로운 new 아이콘을 추가하려면?  
썰타임 <script .... 소스가 본문에서 사용할수 없다는데....  
WongooN 게시판에 사진이 더이상 올라가지 않고, 접속통계를 누르면 오류가 뜹니다.  
NA답답이 상담 게시판 설정시 공지글 돌출 되게 할 수 없나요  
여물2 게시판 카테고리를 이미지로 표현할 방법?  
최강환국 신디케이션 적용문의 [1] 2020.03.14 by 최강환국
레망 최근게시물에 대한 질문  
일정 신고수 이상이 되면 댓글이 블라인드 처리되게 하고 싶습니다. [2] 2012.09.07 by Sulli
hellge unknown column 오류관련 질문드립니다.  
뽀글이75 레이아웃을 삭제. file  
시릐우스 회원정보 확장변수로 몇가지 추가를했는데.. [1] 2012.09.07 by 송동우
이모사푸 게시판 최종글 뎃글의 형식으로 출력 [1] 2012.09.07 by BNU
라리사 XE 1.4.5.13 XSS 취약점(스샷첨부). [1] file 2012.09.07 by CMD
툴툴스 현재 레벨아이콘 나타나는 것을... [3] 2012.09.07 by 송동우
툴툴스 송동우님 죄송해요...제가 잘몰라서 그래요...다시 질문드릴게요..  
BNU님께 재질문 드리겠습니다..  
조37 깜보스킨 [이미지 배치] 기능, 제로보드를 재 설치한 후 어떻게 되살리지요?  
JinkPark Socialxe을 활용한 sns 로그인 [3] 2012.09.06 by JinkPark
비비크림 공지로 지정하면 최근게시물에 안나오도록 하고싶습니다. [3] 2012.09.06 by 송동우
김디디씨 메인에서 로그인시..ㅠㅠ [1] file 2012.09.06 by 송동우