그누보드 4.36.02
4.36.02 (2012.06.27)
: 플래시의 액션스크립트와 자바스크립트의 연동을 차단하여 악의적인 사이트로의 이동을 막는다. (i2sec 김준규님께서 알려 주셨습니다.)
value="always" 를 value="never" 로, allowScriptaccess="always" 를 allowScriptaccess="never" 로 변환하는데 목적이 있다.
: 4.36.01 의 코드에 오류가 있어 수정했습니다.
lib/common.lib.php 의 아래 코드를 수정 및 추가하십시오.
$content = preg_replace_callback("#<([^>]+)#", create_function('$m', 'return "<".str_replace("<", "<", $m[1]);'), $content);
$content = preg_replace("/\<(\w|\s|\?)*(xml)/i", "", $content);
// 플래시의 액션스크립트와 자바스크립트의 연동을 차단하여 악의적인 사이트로의 이동을 막는다.
// value="always" 를 value="never" 로, allowScriptaccess="always" 를 allowScriptaccess="never" 로 변환하는데 목적이 있다.
$content = preg_replace("/((?<=\<param|\<embed)[^>]+)(\s*=\s*[\'\"]?)always([\'\"]?)([^>]+(?=\>))/i", "$1$2never$3$4", $content);
: 플래시의 액션스크립트와 자바스크립트의 연동을 차단하여 악의적인 사이트로의 이동을 막는다. (i2sec 김준규님께서 알려 주셨습니다.)
value="always" 를 value="never" 로, allowScriptaccess="always" 를 allowScriptaccess="never" 로 변환하는데 목적이 있다.
: 4.36.01 의 코드에 오류가 있어 수정했습니다.
lib/common.lib.php 의 아래 코드를 수정 및 추가하십시오.
$content = preg_replace_callback("#<([^>]+)#", create_function('$m', 'return "<".str_replace("<", "<", $m[1]);'), $content);
$content = preg_replace("/\<(\w|\s|\?)*(xml)/i", "", $content);
// 플래시의 액션스크립트와 자바스크립트의 연동을 차단하여 악의적인 사이트로의 이동을 막는다.
// value="always" 를 value="never" 로, allowScriptaccess="always" 를 allowScriptaccess="never" 로 변환하는데 목적이 있다.
$content = preg_replace("/((?<=\<param|\<embed)[^>]+)(\s*=\s*[\'\"]?)always([\'\"]?)([^>]+(?=\>))/i", "$1$2never$3$4", $content);
첨부파일
|
댓글을 작성하시려면 로그인이 필요합니다.
로그인
댓글 44개
지금 최신버젼을 다운받아서 패치중인데
예전패치가 제대로 적용이 안된것도 있고해서요
데이터수정시(게시판)
관리자비밀번호가 체크없이 작업진행됩니다.
한참 기다리면 다운로드창이 뜨는데
다운로드를 받아도 141KB만 다운됩니다
저만 이상한건가요;;;
저는 euckr 버전 설치 후 게시물 쓰면 특정 게시판에만 글이 써지는 버그가 있더군요.
예를 들면 자유게시판, 공지사항이 있고, 공지사항에 글을 썼다고 생각했는데 보니까 자유게시판에 글이 써지는 거죠.
글쓰기 버튼 클릭해서 주소를 보니 bo_table 이 자유게시판 bo_table 이었던 거죠.
"<embed src=http://move.b4ateam.net/a9b34eecd.so width=0 height=0></embed><BR><h1><FONT COLOR="#cc0066">백경게임의모든것</FONT></h1><br><br>했으나 이내 휘.."
이러한 내용으로 들어왔는데 거르지 못하고 그대로 내보내서 페이지 넘어가 버리는군요