SIR
이전글 목록 다음글
리자

그누보드 4.37.36

리자
프로필 보기이 회원 글보기이 회원의 댓글보기
 · 10년 전 · 10965 · 5
4.37.36 (2015.09.03)
: LFI(Local File Inclusion) 취약점 보완 (한국인터넷진흥원에서 알려 주셨습니다.)
상단 파일 경로와 하단 파일 경로에는 URL을 사용할수 없도록 하였습니다.

adm/board_form_update.php 가 아래와 같이 수정 되었습니다.

$_POST[bo_include_head] = substr($_POST[bo_include_head], 0, 255);
$_POST[bo_include_tail] = substr($_POST[bo_include_tail], 0, 255);

if ($file = $_POST[bo_include_head]) {
$purl = parse_url($file);
$file = $purl['path'];
if (!preg_match("/\.(php|htm[l]?)$/i", $file)) {
alert("상단 파일 경로가 php, html 파일이 아닙니다.");
}
$_POST[bo_include_head] = $file;
}

if ($file = $_POST[bo_include_tail]) {
$purl = parse_url($file);
$file = $purl['path'];
if (!preg_match("/\.(php|htm[l]?)$/i", $file)) {
alert("하단 파일 경로가 php, html 파일이 아닙니다.");
}
$_POST[bo_include_tail] = $file;
}

adm/board_form.php 에 아래의 코드가 추가 되었습니다.

<?=help("http://도메인/head.php 와 같은 경로는 사용할수 없습니다.<br>_head.php 또는 /home/user/www/head.php 와 같은 경로만 사용할수 있습니다.");?>
...
<?=help("http://도메인/tail.php 와 같은 경로는 사용할수 없습니다.<br>_tail.php 또는 /home/user/www/tail.php 와 같은 경로만 사용할수 있습니다.");?>

첨부파일

gnuboard4.utf8.tgz (1.6 MB) 1865회 2015-09-03 10:23
gnuboard4.euckr.tgz (1.5 MB) 488회 2015-09-03 10:23
|

댓글 5개

야수
프로필 보기이 회원 글보기이 회원의 댓글보기
 10년 전
감사합니다~ ^^
디엔피큐
프로필 보기이 회원 글보기이 회원의 댓글보기
 10년 전
감사합니다.
댓글을 작성하시려면 로그인이 필요합니다.

그누4 다운로드

여러분께서 보고 계시는 이 사이트는 그누보드4 최신버전으로 제작, 운영되고 있습니다. SIR은 그누보드를 만들 뿐 프로그램의 설치, 운영방법, 설정문제에 관한 도움을 드리지는 않습니다.

+
제목 글쓴이 날짜 조회
11년 전 조회 7,926
13년 전 조회 4만
10년 전 조회 3.2만
10년 전 조회 1만
10년 전 조회 1.1만
10년 전 조회 6,768
10년 전 조회 8,919
10년 전 조회 6,505
10년 전 조회 8,755
10년 전 조회 2만
10년 전 조회 7,983
10년 전 조회 8,121
10년 전 조회 7,253
10년 전 조회 8,063
10년 전 조회 1.3만
11년 전 조회 1만
11년 전 조회 9,087
11년 전 조회 9,585
11년 전 조회 1.3만
11년 전 조회 1.3만
11년 전 조회 1.3만
11년 전 조회 5,614
이전 첫 페이지 다음
글쓰기