[보안패치] 그누보드 4.34.28 정보
[보안패치] 그누보드 4.34.28
관련링크
첨부파일
본문
4.34.28 (2012.05.24)
: 게시판 검색시 검색어에 태그가 들어가는 경우 쿼리 에러가 나는것을 수정 (곱슬최씨님께서 알려 주셨습니다.)
get_sql_search() 함수 수정
: [보안패치] XSS 취약점 오류 수정 (i2sec 하동민님께서 알려 주셨습니다.)
conv_content(), bad120422() 함수 수정
lib/common.lib.php
------------------------------------------------
UTF-8 버전은 github 를 통해서도 제공하고 있습니다.
많은 관심 부탁 드립니다.
: 게시판 검색시 검색어에 태그가 들어가는 경우 쿼리 에러가 나는것을 수정 (곱슬최씨님께서 알려 주셨습니다.)
get_sql_search() 함수 수정
: [보안패치] XSS 취약점 오류 수정 (i2sec 하동민님께서 알려 주셨습니다.)
conv_content(), bad120422() 함수 수정
lib/common.lib.php
------------------------------------------------
UTF-8 버전은 github 를 통해서도 제공하고 있습니다.
많은 관심 부탁 드립니다.
댓글 전체
감사합니다. ^^
감사합니다.
감사합니당~~~~~
감사합니다.
수고하셨습니다
수고하셨네요. 잘쓸께요
감사합니다.
감사합니다
감사합니다.
감사합니다.
감사합니다~
ㄱㅅㄱㅅ
감사합니다.
감사합니다..^^
감사합니다람쥐~
감사합니다
즐거운 주말 보내세요 !!!
ㅅㄱㅇ ㄱ ㅅ ㄱ ㅅ
lib/common.lib.php 덮어쓰기 하니깐 게시판에 올려진 동영상이 전부
아래처럼 ,,,,,
embed 태그에 스크립트는 사용 불가합니다.
이렇게 되네요 이게 왜서 일가요?
동영상이 전부 보이지 않고, 저런 문구만 달랑~
알려주세요~
아래처럼 ,,,,,
embed 태그에 스크립트는 사용 불가합니다.
이렇게 되네요 이게 왜서 일가요?
동영상이 전부 보이지 않고, 저런 문구만 달랑~
알려주세요~
<embed src="http://www.youtube.com/v/Sh-cnaJoGCw?version=3&hl=ko_KR&rel=0" type="application/x-shockwave-flash" width="853" height="480" allowscriptaccess="always" allowfullscreen="true">
같은 태그가 있을때 allowscriptaccess 라는 부분에서 "script"라는 문자열이 스크립트로 감지되어서 발생하는 문제 같습니다.
embed 태그 내에 "script"문자열을 포함시키 않는것이 일단 하나의 방법이 될거 같습니다.
주로 많이 퍼오게 되는 youtube에서 제공하는 태그에 'script'라는 문자열이 포함되서 발생하는 문제이므로, 관리자님께서 추가 보완해 주시지 않을까 생각됩니다.
같은 태그가 있을때 allowscriptaccess 라는 부분에서 "script"라는 문자열이 스크립트로 감지되어서 발생하는 문제 같습니다.
embed 태그 내에 "script"문자열을 포함시키 않는것이 일단 하나의 방법이 될거 같습니다.
주로 많이 퍼오게 되는 youtube에서 제공하는 태그에 'script'라는 문자열이 포함되서 발생하는 문제이므로, 관리자님께서 추가 보완해 주시지 않을까 생각됩니다.
정확하진 않지만 아래처럼 수정하면 되지 않을까 싶은데,
관리자님이나 다른 고수분들께서 확인해 주시면 좋을거 같습니다.
// OBJECT 태그의 XSS 막기
function bad120422($matches)
{
$tag = $matches[1];
$code = $matches[2];
if (preg_match("#[\W]script[\W]#i", $code)) {
return "$tag 태그에 스크립트는 사용 불가합니다.";
} else if (preg_match("#[\W]base64[\W]#i", $code)) {
return "$tag 태그에 BASE64는 사용 불가합니다.";
}
return $matches[0];
}
참고
\w Any word character (letter, number, underscore)
\W Any non-word character
주의 : 정확한 해결책이 아닐수 있으므로, 관리자님이나 다른 고수분들의 검증후 적용하세요
관리자님이나 다른 고수분들께서 확인해 주시면 좋을거 같습니다.
// OBJECT 태그의 XSS 막기
function bad120422($matches)
{
$tag = $matches[1];
$code = $matches[2];
if (preg_match("#[\W]script[\W]#i", $code)) {
return "$tag 태그에 스크립트는 사용 불가합니다.";
} else if (preg_match("#[\W]base64[\W]#i", $code)) {
return "$tag 태그에 BASE64는 사용 불가합니다.";
}
return $matches[0];
}
참고
\w Any word character (letter, number, underscore)
\W Any non-word character
주의 : 정확한 해결책이 아닐수 있으므로, 관리자님이나 다른 고수분들의 검증후 적용하세요
저도 그런네요.. 원 파일로 회복하였습니다. 이거 뭐가 잘못된거 아닌가요?
저도 유투브 영상을 링크해놨더니 embed 태그에 스크립트는 사용 불가합니다. 라고 뜨네요.
다행이 몇개없어서 잇힝이 님이 말씀해주신대로 allowscriptaccess="always"제거 하니 정상적으로 보이네요. 다소 번거롭겟습니다. 관리자님이 수정배포해주시리라 믿습니다.
다행이 몇개없어서 잇힝이 님이 말씀해주신대로 allowscriptaccess="always"제거 하니 정상적으로 보이네요. 다소 번거롭겟습니다. 관리자님이 수정배포해주시리라 믿습니다.
일일이 소스 수정하면은,,,,ㅠㅠ
동영상이 만개도 훨씬 넘는데 ㅜ
어찌 하면 될가요?
http://sir.co.kr/bbs/board.php?bo_table=g4_skin&wr_id=95805&sca=&sfl=wr_subject%7C%7Cwr_content&stx=%EB%8F%99%EC%98%81%EC%83%81&sop=and&page=4
lib/common.lib.php
덮어쓰기 하면
위에 동영상 게시판은 괜찮네요
고수분들께서 참고 하세요~
동영상이 만개도 훨씬 넘는데 ㅜ
어찌 하면 될가요?
http://sir.co.kr/bbs/board.php?bo_table=g4_skin&wr_id=95805&sca=&sfl=wr_subject%7C%7Cwr_content&stx=%EB%8F%99%EC%98%81%EC%83%81&sop=and&page=4
lib/common.lib.php
덮어쓰기 하면
위에 동영상 게시판은 괜찮네요
고수분들께서 참고 하세요~
정보 감사합니다
감사합니다.
감사합니다
감사합니다~^ㅁ^
감사합니다
