뽐뿌 해킹 건에 관련하여 그누보드에 궁금증이 있습니다. > 자유게시판

자유게시판

뽐뿌 해킹 건에 관련하여 그누보드에 궁금증이 있습니다. 정보

뽐뿌 해킹 건에 관련하여 그누보드에 궁금증이 있습니다.

본문

뽐뿌 해킹 건에 관련하여 그누보드에 궁금증이 있습니다.

 

웹호스팅 받아 그누보드5로 작은 홈페이지를 운영하고 있는 나름 운영잡니다ㅎ

이번 뽐뿌에서 sql injection으로 털렸다는 소식을 듣고 

여기저기서 관련 글 읽던 중 sql injection은 아주 초보적인 해킹이고 요즘은 통하지 않는다고 그러더라구요. 

php 프레임워크들에는 모두 적용되어 안전하단 글도 본 적도 있구요.

 

관련 글입니다.

http://www.clien.net/cs2/bbs/board.php?bo_table=park&wr_id=40841090&sca=&sfl=wr_subject%7C%7Cwr_content&stx=injection

http://www.clien.net/cs2/bbs/board.php?bo_table=park&wr_id=40840559&sca=&sfl=wr_subject%7C%7Cwr_content&stx=injection

http://www.clien.net/cs2/bbs/board.php?bo_table=park&wr_id=40840050&sca=&sfl=wr_subject%7C%7Cwr_content&stx=injection

 

다른 글이지만 xe는 sql injection은 불가능에 가깝다고 이야기합니다.

https://www.xpressengine.com/forum/23077911

 

그누보드의 경우 최근까지도 sql injection 관련 패치가 이뤄지고 있어서요.

패치나올 때마다 감사히 여기며 그때 그때 해주고 있습니다만 

sql injection 패치가 꾸준히 이뤄지는 것을 보면 그누보드에 관련 허점이 아직 있을거라 추측되는데요..

 

아주 조심스레 질문드려 봅니다^^

현재의 기본 그누보드는 보안이 어느정도 탁월한지, 털릴 가능성이 있는지 궁금합니다.

 

 

추천
0

댓글 7개

그누보드 플러그인을 출시하면서 이번에 처음 그누보드5를 써보았습니다. 소스코드를 보니 그누보드는 XE에 비해 SQL 공격에 취약합니다. 보안대책이 되어 있기는 하지만 실수로 한 군데 빠트린 곳이 있다면 위험에 노출될 수 있습니다. common.php에 방어 코드가 있기 때문에 반드시 저 파일을 먼저 불러와야 하는데 놓친 부분이 있을 수도 있습니다. 사용자가 제작한 스킨, 테마 등에 위험요소가 있을지도 모릅니다. SQL 공격 차단 기능이 있는 방화벽과 함께 운영하는 것이 좋아 보입니다.
G5의 잦은 패치에도 불구하고 심심치않게 뚫려서 셀이 삽입되는 것을 보면 뭔가 근본적인 대책이 필요하다는 생각이 들기도 하네요.
그누보드 자체의 문제도 있을수 있겟지만,
사용자 스킨에 의한 문제가 심각합니다.

기존 스킨을 버리는 한이 있더라도
보안상은 템플릿 시스템이 맞긴 한데......

당장은 많이 어려운 부분이 아닐까 생각합니다.
그누보드 자체는 워낙 오랫동안 산전수전 다 겪으면서 튼튼해졌기 때문에
업데이트만 잘 하면 별 문제가 없습니다.

그러나 스킨이나, 사용자가 막 뜯어고친 부분에서 많이 공격을 당하죠.
이것 때문에 업데이트조차 못 하면 그야말로 엎친 데 덮친 격이고요.

XE는 사용자가 임의의 쿼리를 직접 날릴 수 없고 반드시 XML로 쿼리를 미리 선언하도록 되어 있어서
그 방식을 따르면 안전하긴 한데, 그 대신 개발하기가 상당히 귀찮습니다.

프레임워크에 모두 적용되어 안전하다는 말은
CodeIgniter, Laravel 등의 프레임워크를 사용할 때의 얘기죠.
일반 CMS는 각자 하기 나름입니다.
스킨 만들 때의 규칙이나 절대 빼면 안되는 소스나... 하는 것을 알려주면 좋을 듯 하네요.
올려진 모든 스킨들을 누가 점검해주지는 못할 것이고...
정보를 보호하기 위해 끊임없이 보안에 신경 써야하는게 여간 어려운게 아닌거 같습니다.
아예 sql injection이나 xss가 불가능하면 좋으련만..
그누보드뿐만아니라 서브개발자들도 최소한 스킨코딩부터 신중히 개발해야겠군요.
여러 답변 보면서 많은 생각을 하게 됩니다.
답변 감사합니다.
전체 195,062 |RSS
자유게시판 내용 검색

회원로그인

진행중 포인트경매

  1. 참여1 회 시작24.03.28 11:15 종료24.04.04 11:15
(주)에스아이알소프트 / 대표:홍석명 / (06211) 서울특별시 강남구 역삼동 707-34 한신인터밸리24 서관 1404호 / E-Mail: admin@sir.kr
사업자등록번호: 217-81-36347 / 통신판매업신고번호:2014-서울강남-02098호 / 개인정보보호책임자:김민섭(minsup@sir.kr)
© SIRSOFT