옆동네(2CPU) 그누보드 4/5 SQLi 공격 취약점 발견 이슈 > 자유게시판

자유게시판

옆동네(2CPU) 그누보드 4/5 SQLi 공격 취약점 발견 이슈 정보

옆동네(2CPU) 그누보드 4/5 SQLi 공격 취약점 발견 이슈

본문

취약점 이슈내용

 

원인 : $_SERVER["HTTP_X_FORWARDED_FOR"] 필터링 실패

 

결과 : 

1. 사용자가 SQL 쿼리를 조작할 수 있음

1-1. 사용자가 글 작성자를 변경할 수 있음

1-2. 사용자가 전체 게시글의 내용을 변경할 수 있음

1-4. 운영자에 대한 XSS 공격을 할 수 있음

1-5. 모든 사용자에 대한 password() 해시된 비밀번호를 볼 수 있음

 

출처 : 2CPU

취약점 이슈 : http://www.2cpu.co.kr/freeboard_2011/956276

해결방안 : http://www.2cpu.co.kr/freeboard_2011/956348

 

SIR 에서 확인 및 대처가 필요할듯 싶습니다.

추천5
스폰서링크

댓글 7개

현재 그누보드는 회원이 글 작성시 해당 게시물에 해당 회원의 비밀번호(wr_password)도 같이 저장되는 구조이며, 프록시를 이용하여 회원 비밀번호 정보를 가져가는게 가능함이 확인된 사항입니다.
전체 172,368 |RSS
자유게시판 내용 검색

회원로그인

진행중 포인트경매

  1. 강정 감귤 5kg 한박스

    참여6 회 시작18.11.13 20:00 종료18.11.18 20:00
  2. 다래사랑) 레드키위 or 골드키위 3Kg 한박스

    참여20 회 시작18.11.13 11:45 종료18.11.18 11:45

(주)에스아이알소프트 (06253) 서울특별시 강남구 도곡로1길 14, 6층 624호 (역삼동, 삼일프라자) 대표메일:admin@sir.kr
사업자등록번호:217-81-36347 대표:홍석명 통신판매업신고번호:2014-서울강남-02098호 개인정보보호책임자:이총

© SIRSOFT