$_SERVER 변수를 사용한 SQL Injection 공격 취약점
< 현재 문제 1>
head.sub.php 라인24~27
ㄴ$lo_location = $_SERVER['REQUEST_URI'];
ㄴ$lo_url = $_SERVER['REQUEST_URI'];
위 변수가 아래 파일에서 SQL Injection 공격 취약점이 들어남.
tail.sub.php 라인16, 라인21
< 현재 문제 2>
$_SERVER[REMOTE_ADDR] 변수의 SQL Injection 공격 취약점으로 아래와 같은 파일에서 취약점 들어남.
tail.sub.php
adm/mail_update.php
adm/member_form_update.php
bbs/poll_update.php
bbs/register_form_update.php
bbs/scrap_popin_update.php
bbs/search.php
bbs/tb.php
bbs/tb_token.php
bbs/visit_insert.inc.php
bbs/write_comment_update.php
bbs/write_update.php
lib/common.lib.php
<< 해결방안 >>
아래 업데이트 내용의 아래부분에 변수 2줄 추가로 해결함...
4.35.00 (2012.06.12)
: $_SERVER['PHP_SELF'] 변수를 사용한 XSS 취약점 수정
$_SERVER['REQUEST_URI'] = htmlentities($_SERVER['REQUEST_URI']);
$_SERVER['REMOTE_ADDR'] = htmlentities($_SERVER['REMOTE_ADDR']);
head.sub.php 라인24~27
ㄴ$lo_location = $_SERVER['REQUEST_URI'];
ㄴ$lo_url = $_SERVER['REQUEST_URI'];
위 변수가 아래 파일에서 SQL Injection 공격 취약점이 들어남.
tail.sub.php 라인16, 라인21
< 현재 문제 2>
$_SERVER[REMOTE_ADDR] 변수의 SQL Injection 공격 취약점으로 아래와 같은 파일에서 취약점 들어남.
tail.sub.php
adm/mail_update.php
adm/member_form_update.php
bbs/poll_update.php
bbs/register_form_update.php
bbs/scrap_popin_update.php
bbs/search.php
bbs/tb.php
bbs/tb_token.php
bbs/visit_insert.inc.php
bbs/write_comment_update.php
bbs/write_update.php
lib/common.lib.php
<< 해결방안 >>
아래 업데이트 내용의 아래부분에 변수 2줄 추가로 해결함...
4.35.00 (2012.06.12)
: $_SERVER['PHP_SELF'] 변수를 사용한 XSS 취약점 수정
$_SERVER['REQUEST_URI'] = htmlentities($_SERVER['REQUEST_URI']);
$_SERVER['REMOTE_ADDR'] = htmlentities($_SERVER['REMOTE_ADDR']);
|
댓글을 작성하시려면 로그인이 필요합니다.
로그인
댓글 2개