[보안패치] 그누보드 4.32.06 정보
[보안패치] 그누보드 4.32.06
첨부파일
본문
2010.08.16 10:30
XSS(Cross Site Scripting)을 무력화 하는 함수인 common.php 의 xss_clean() 이 일부 서버에서 한글을 제대로 인식하지 못하는 경우가 발생하고 있습니다.
검색이 제대로 되지 않는다면
common.php 의 $_GET = xss_clean($_GET); 이 코드를 삭제하시거나 // 주석 처리하시기 바랍니다.
현재 xss_clean() 함수가 제대로 작동하지 않는 코드를 배포하고 있습니다.
4.32.06 (10.08.09)
: [보안] XSS(Cross Site Scripting) 공격에 의한 데이터 검증 및 차단 (sjsjin 님께서 알려주셨습니다.)
: 글쓰기, 코멘트쓰기시 욕 단어 필터링 버그 수정 (유창화님, 불당님께서 알려주셨습니다.)
common.php
skin/board/basic/ajax.filter.php
XSS(Cross Site Scripting)을 무력화 하는 함수인 common.php 의 xss_clean() 이 일부 서버에서 한글을 제대로 인식하지 못하는 경우가 발생하고 있습니다.
검색이 제대로 되지 않는다면
common.php 의 $_GET = xss_clean($_GET); 이 코드를 삭제하시거나 // 주석 처리하시기 바랍니다.
현재 xss_clean() 함수가 제대로 작동하지 않는 코드를 배포하고 있습니다.
4.32.06 (10.08.09)
: [보안] XSS(Cross Site Scripting) 공격에 의한 데이터 검증 및 차단 (sjsjin 님께서 알려주셨습니다.)
: 글쓰기, 코멘트쓰기시 욕 단어 필터링 버그 수정 (유창화님, 불당님께서 알려주셨습니다.)
common.php
skin/board/basic/ajax.filter.php
댓글 전체
common.php 는 아래 코드가 추가 되었습니다.
//==========================================================================================================================
// XSS(Cross Site Scripting) 공격에 의한 데이터 검증 및 차단
//--------------------------------------------------------------------------------------------------------------------------
function xss_clean($data)
{
// If its empty there is no point cleaning it :\
if(empty($data))
return $data;
// Recursive loop for arrays
if(is_array($data))
{
foreach($data as $key => $value)
{
$data[$key] = xss_clean($value);
}
return $data;
}
// http://svn.bitflux.ch/repos/public/popoon/trunk/classes/externalinput.php
// +----------------------------------------------------------------------+
// | Copyright (c) 2001-2006 Bitflux GmbH |
// +----------------------------------------------------------------------+
// | Licensed under the Apache License, Version 2.0 (the "License"); |
// | you may not use this file except in compliance with the License. |
// | You may obtain a copy of the License at |
// | http://www.apache.org/licenses/LICENSE-2.0 |
// | Unless required by applicable law or agreed to in writing, software |
// | distributed under the License is distributed on an "AS IS" BASIS, |
// | WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or |
// | implied. See the License for the specific language governing |
// | permissions and limitations under the License. |
// +----------------------------------------------------------------------+
// | Author: Christian Stocker <*** 개인정보보호를 위한 이메일주소 노출방지 ***> |
// +----------------------------------------------------------------------+
// Fix &entity\n;
$data = str_replace(array('&','<','>'), array('&amp;','&lt;','&gt;'), $data);
$data = preg_replace('/(&#*\w+)[\x00-\x20]+;/u', '$1;', $data);
$data = preg_replace('/(&#x*[0-9A-F]+);*/iu', '$1;', $data);
if (function_exists("html_entity_decode"))
{
//$data = html_entity_decode($data, ENT_COMPAT, 'UTF-8');
$data = html_entity_decode($data);
}
else
{
$trans_tbl = get_html_translation_table(HTML_ENTITIES);
$trans_tbl = array_flip($trans_tbl);
$data = strtr($data, $trans_tbl);
}
// Remove any attribute starting with "on" or xmlns
$data = preg_replace('#(<[^>]+?[\x00-\x20"\'])(?:on|xmlns)[^>]*+>#iu', '$1>', $data);
// Remove javascript: and vbscript: protocols
$data = preg_replace('#([a-z]*)[\x00-\x20]*=[\x00-\x20]*([`\'"]*)[\x00-\x20]*j[\x00-\x20]*a[\x00-\x20]*v[\x00-\x20]*a[\x00-\x20]*s[\x00-\x20]*c[\x00-\x20]*r[\x00-\x20]*i[\x00-\x20]*p[\x00-\x20]*t[\x00-\x20]*:#iu', '$1=$2nojavascript...', $data);
$data = preg_replace('#([a-z]*)[\x00-\x20]*=([\'"]*)[\x00-\x20]*v[\x00-\x20]*b[\x00-\x20]*s[\x00-\x20]*c[\x00-\x20]*r[\x00-\x20]*i[\x00-\x20]*p[\x00-\x20]*t[\x00-\x20]*:#iu', '$1=$2novbscript...', $data);
$data = preg_replace('#([a-z]*)[\x00-\x20]*=([\'"]*)[\x00-\x20]*-moz-binding[\x00-\x20]*:#u', '$1=$2nomozbinding...', $data);
// Only works in IE: <span style="width: expression(alert('Ping!'));"></span>
$data = preg_replace('#(<[^>]+?)style[\x00-\x20]*=[\x00-\x20]*[`\'"]*.*?expression[\x00-\x20]*\([^>]*+>#i', '$1>', $data);
$data = preg_replace('#(<[^>]+?)style[\x00-\x20]*=[\x00-\x20]*[`\'"]*.*?behaviour[\x00-\x20]*\([^>]*+>#i', '$1>', $data);
$data = preg_replace('#(<[^>]+?)style[\x00-\x20]*=[\x00-\x20]*[`\'"]*.*?s[\x00-\x20]*c[\x00-\x20]*r[\x00-\x20]*i[\x00-\x20]*p[\x00-\x20]*t[\x00-\x20]*:*[^>]*+>#iu', '$1>', $data);
// Remove namespaced elements (we do not need them)
$data = preg_replace('#</*\w+:\w[^>]*+>#i', '', $data);
do
{
// Remove really unwanted tags
$old_data = $data;
$data = preg_replace('#</*(?:applet|b(?:ase|gsound|link)|embed|frame(?:set)?|i(?:frame|layer)|l(?:ayer|ink)|meta|object|s(?:cript|tyle)|title|xml)[^>]*+>#i', '', $data);
}
while ($old_data !== $data);
return $data;
}
/*
foreach($_GET as $key=>$value) {
$_GET[$key] = xss_clean($value);
}
*/
$_GET = xss_clean($_GET);
//==========================================================================================================================
//==========================================================================================================================
// XSS(Cross Site Scripting) 공격에 의한 데이터 검증 및 차단
//--------------------------------------------------------------------------------------------------------------------------
function xss_clean($data)
{
// If its empty there is no point cleaning it :\
if(empty($data))
return $data;
// Recursive loop for arrays
if(is_array($data))
{
foreach($data as $key => $value)
{
$data[$key] = xss_clean($value);
}
return $data;
}
// http://svn.bitflux.ch/repos/public/popoon/trunk/classes/externalinput.php
// +----------------------------------------------------------------------+
// | Copyright (c) 2001-2006 Bitflux GmbH |
// +----------------------------------------------------------------------+
// | Licensed under the Apache License, Version 2.0 (the "License"); |
// | you may not use this file except in compliance with the License. |
// | You may obtain a copy of the License at |
// | http://www.apache.org/licenses/LICENSE-2.0 |
// | Unless required by applicable law or agreed to in writing, software |
// | distributed under the License is distributed on an "AS IS" BASIS, |
// | WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or |
// | implied. See the License for the specific language governing |
// | permissions and limitations under the License. |
// +----------------------------------------------------------------------+
// | Author: Christian Stocker <*** 개인정보보호를 위한 이메일주소 노출방지 ***> |
// +----------------------------------------------------------------------+
// Fix &entity\n;
$data = str_replace(array('&','<','>'), array('&amp;','&lt;','&gt;'), $data);
$data = preg_replace('/(&#*\w+)[\x00-\x20]+;/u', '$1;', $data);
$data = preg_replace('/(&#x*[0-9A-F]+);*/iu', '$1;', $data);
if (function_exists("html_entity_decode"))
{
//$data = html_entity_decode($data, ENT_COMPAT, 'UTF-8');
$data = html_entity_decode($data);
}
else
{
$trans_tbl = get_html_translation_table(HTML_ENTITIES);
$trans_tbl = array_flip($trans_tbl);
$data = strtr($data, $trans_tbl);
}
// Remove any attribute starting with "on" or xmlns
$data = preg_replace('#(<[^>]+?[\x00-\x20"\'])(?:on|xmlns)[^>]*+>#iu', '$1>', $data);
// Remove javascript: and vbscript: protocols
$data = preg_replace('#([a-z]*)[\x00-\x20]*=[\x00-\x20]*([`\'"]*)[\x00-\x20]*j[\x00-\x20]*a[\x00-\x20]*v[\x00-\x20]*a[\x00-\x20]*s[\x00-\x20]*c[\x00-\x20]*r[\x00-\x20]*i[\x00-\x20]*p[\x00-\x20]*t[\x00-\x20]*:#iu', '$1=$2nojavascript...', $data);
$data = preg_replace('#([a-z]*)[\x00-\x20]*=([\'"]*)[\x00-\x20]*v[\x00-\x20]*b[\x00-\x20]*s[\x00-\x20]*c[\x00-\x20]*r[\x00-\x20]*i[\x00-\x20]*p[\x00-\x20]*t[\x00-\x20]*:#iu', '$1=$2novbscript...', $data);
$data = preg_replace('#([a-z]*)[\x00-\x20]*=([\'"]*)[\x00-\x20]*-moz-binding[\x00-\x20]*:#u', '$1=$2nomozbinding...', $data);
// Only works in IE: <span style="width: expression(alert('Ping!'));"></span>
$data = preg_replace('#(<[^>]+?)style[\x00-\x20]*=[\x00-\x20]*[`\'"]*.*?expression[\x00-\x20]*\([^>]*+>#i', '$1>', $data);
$data = preg_replace('#(<[^>]+?)style[\x00-\x20]*=[\x00-\x20]*[`\'"]*.*?behaviour[\x00-\x20]*\([^>]*+>#i', '$1>', $data);
$data = preg_replace('#(<[^>]+?)style[\x00-\x20]*=[\x00-\x20]*[`\'"]*.*?s[\x00-\x20]*c[\x00-\x20]*r[\x00-\x20]*i[\x00-\x20]*p[\x00-\x20]*t[\x00-\x20]*:*[^>]*+>#iu', '$1>', $data);
// Remove namespaced elements (we do not need them)
$data = preg_replace('#</*\w+:\w[^>]*+>#i', '', $data);
do
{
// Remove really unwanted tags
$old_data = $data;
$data = preg_replace('#</*(?:applet|b(?:ase|gsound|link)|embed|frame(?:set)?|i(?:frame|layer)|l(?:ayer|ink)|meta|object|s(?:cript|tyle)|title|xml)[^>]*+>#i', '', $data);
}
while ($old_data !== $data);
return $data;
}
/*
foreach($_GET as $key=>$value) {
$_GET[$key] = xss_clean($value);
}
*/
$_GET = xss_clean($_GET);
//==========================================================================================================================
$data = preg_replace('/(&#*\w+)[\x00-\x20]+;/u', '$1;', $data);
여기에서 u 는 utf-8에서만 가능한거 아닌가요?
그랫던거 같은데.....
여기에서 u 는 utf-8에서만 가능한거 아닌가요?
그랫던거 같은데.....
http://kr.php.net/manual/kr/reference.pcre.pattern.modifiers.php
패턴문자열을 UTF-8 로 취급한다고 나와 있네요.
ANSI 와 UTF-8 에서 공격코드로 테스트 해보았으나 다른점은 발견하지 못하였습니다.
알려주셔서 감사합니다.
패턴문자열을 UTF-8 로 취급한다고 나와 있네요.
ANSI 와 UTF-8 에서 공격코드로 테스트 해보았으나 다른점은 발견하지 못하였습니다.
알려주셔서 감사합니다.
ㅎㅎㅎㅎ
3등도 감사 ㅋㅋ
감사합니다. 잘 쓰겠습니다.
무더운 날씨에 리자님 고생 많으십니다. 건강 유의하시고 감사드립니다. (__)
패치가 왜이리 늦나 하고 한참 기다렸습니다. ㅡㅡ;
수고 하셨습니다. ㅋ
수고 하셨습니다. ㅋ
감사합니다.
업데이트를 해야 하는군..흐흐 감사요!
감사합니다.
고맙습니다. 복받으세요.
감사합니다
관리자님 냉차라도 한잔 드려야 하는데..
감사합니다.
감사합니다.
ㅎㅎ그누보드 시작하려합니다~
ajax.filter.php가 bbs 디렉토리에 들어 있는게, 여러 게시판 스킨을 같이 쓸 때 편할 것 같습니다.
기존 스킨과의 차별성 때문입니다.
그렇지 않아도 그 생각을 했는데 자꾸 옮겨다니는 모습이 보기 좋지 않아 이번에는 그냥 배포합니다.
그렇지 않아도 그 생각을 했는데 자꾸 옮겨다니는 모습이 보기 좋지 않아 이번에는 그냥 배포합니다.
수고 많으셨습니다...^^
수고하셧습니다. 잘쓸께요 ㅎ
글쓰기시 오류가 뜨는것 같습니다.
'글쓰기에는 $wr_id값을 사용하지않습니다'
'글쓰기에는 $wr_id값을 사용하지않습니다'
'글쓰기에는 $wr_id값을 사용하지않습니다'
스킨에 ajax.filter.php,write.skin.php 넣으세요,
스킨에 ajax.filter.php,write.skin.php 넣으세요,
감사합니다~
감사합니다....
감사합니다. ^^ 잘 쓰겠습니다.
감사합니다. 이제 시작해 보려합니다.
음.. 업데이트 후에 기본 스킨을 쓰는 게시판들의 검색이 되지 않고 있습니다.
board.php와 search.php 등의 파일도 똑같이 덮어씌웠는데 왜 안 될까요..
board.php와 search.php 등의 파일도 똑같이 덮어씌웠는데 왜 안 될까요..
감사합니다.^^
수고하셨습니다^ㅡ^
수고하셨습니다.
수고하셨습니다.
우편번호 검색 호출 버그 있는거 같습니다.
관리자님 체크 부탁드립니다.
추가된 코드 맨끝. 데이터 걸리네요.
common.php -> 188번째
$_GET = xss_clean($_GET);
관리자님 체크 부탁드립니다.
추가된 코드 맨끝. 데이터 걸리네요.
common.php -> 188번째
$_GET = xss_clean($_GET);
그누보드 4.32.06 에서
common.php 부분만 패치했는데
검색 기능이 먹질 않네요
common.php 부분만 패치했는데
검색 기능이 먹질 않네요
리자님 더운날 고생 많으십니다~ 수고하셨습니다. ㅋ
감사합니다..잘사용하겠습니다..
고맙습니다. 잘 사용하겠습니다.
감사합니다
이자료 기반신청해도 될까요??
이자료 기반신청해도 될까요??
패치후 euc-kr에서 한글로 된 검색어 및 카테고리 기능이 먹통입니다.
$_GET = xss_clean($_GET);
이 구문을 주석처리하면 다시 잘 되구요.
xss_clean 함수를 다시 한 번 체크 해 봐 주세요..ㅠ
$_GET = xss_clean($_GET);
이 구문을 주석처리하면 다시 잘 되구요.
xss_clean 함수를 다시 한 번 체크 해 봐 주세요..ㅠ
맨 위에 유창화님 말씀대로 정규식 에서 u 옵션만 빼니까 잘 작동합니다.
관리자님 이렇게 써도 문제 없는 건가요?
관리자님 이렇게 써도 문제 없는 건가요?
감사합니다
utf-8인 경우는 그대로 사용하시면 되고,
euc-kr에서 검색에 문제가 생기는 경우는 preg_replace 펑션에서 치환문구열에 있는 u 옵션을 빼고 사용하시면 됩니다.
# utf-8/euc-kr 별로 u 옵션사용여부를 다르게 처리해야 할 것 같습니다.
euc-kr에서 검색에 문제가 생기는 경우는 preg_replace 펑션에서 치환문구열에 있는 u 옵션을 빼고 사용하시면 됩니다.
# utf-8/euc-kr 별로 u 옵션사용여부를 다르게 처리해야 할 것 같습니다.
감사합니다
감사합니다^^
생각보다 기능이좋습니다.
감사합니다. 잘쓰겠습니다.
감사합니다....
2011-0923- common.php / common2010 - 두개 파일에 추가 함
