소규모 웹에이전시하는 아는 형이 있습니다.
어제 단가를 맞추기위해 자체 게시판을 사용을 안하고,
그누로 홈페이지를 다량 만들어서 제작하고 있다던군요.

근데 얼마전에 병원 진료예약 시스템도 그누게시판 변형해서
만들어줬는데 계속 글이 지워진다고 연락이 온답니다.
csrf 문제일 확률이 높다고 생각했죠.
작년 말쯤에 문제가 됐었죠. 한동안 그누보드를 쓰지 않아서 요새는 해결됐나 싶었는데,
설치하고 확인해보니 아직도 먹히는 부분들이 있네요.

아시는 분은 아시겠지만,
현재 그누보드는 보안상 약간 위험합니다.(최근버젼까지 해당됩니다)
@extract  써서 모든 변수를 전역변수로 받는 것이 원칙적으로 위험하고,
(extract때문에 env, cookie, session, get과 post값을 구분없이 받아버립니다. 악의적인 코드변조가 일어날 수 있죠.)
몇몇 DB관련 처리 페이지에서의 입력값 검사도 문제가 됩니다.

전체적으로 보자면, 그누 각 페이지를 전반적으로 뜯어내야 하는 공사가 때문에
어려움이 있는 걸로 알고 있습니다.(또한 공개보드 특성상 각 서버 버젼을 고려해야하기 때문이기도 하겠죠.)

그리고 그누로 유지되는 사이트가 대부분 커뮤니티라, 사용자가 html를 쓰게 막을 수도 없고요.
전체적으로 많은 어려움이 있는 걸로 알고 있습니다만,

현재 검색을 통하면 쉽게 알 수 있는 몇가지 구멍들은 임시방편으로라도 막아서
패치를 해야하지 않나 하는 생각이 드네요.(delete파일과 memo파일에 대한 내용이 떠돌고 있더군요. 혹시나 하고 그누 검색해봤지만 관련내용은 없네요. 우선 관리자님께 쪽지 보내드리려고 했으나 쪽지보내기가 안되네요.-_-;)

참고로 제가 말한 위 사례는 그 병원 사이트의 사용자 입력페이지에서 html을 못쓰게 막고,
@extract를 common.php에서 안쓰고, 정 필요하면 필요한 페이지에서만 따로 인크루드 하는 파일을 만들어서, 필요한 페이지에서 쓰고 나머지는 전부 정확한 변수값으로 받게 처리하라고 알려드렸습니다.