[보안패치] 그누보드 4.36.11 정보
[보안패치] 그누보드 4.36.11첨부파일
본문
4.36.11 (2012.12.13)
: 글읽기에서 실행되는 XSS 취약점 보완
UN Security팀에서 한국인터넷진흥원을 통하여 알려 주셨습니다.
lib/common.lib.php 에 아래와 같이 추가합니다.
// <IMG STYLE="xss:e\xpression(alert('XSS'))"></IMG> 와 같은 코드에 취약점이 있어 수정함. 121213
$content = preg_replace("/(?<=style)(\s*=\s*[\"\']?xss\:)/i", '="__XSS__', $content);
: 글읽기에서 실행되는 XSS 취약점 보완
UN Security팀에서 한국인터넷진흥원을 통하여 알려 주셨습니다.
lib/common.lib.php 에 아래와 같이 추가합니다.
// <IMG STYLE="xss:e\xpression(alert('XSS'))"></IMG> 와 같은 코드에 취약점이 있어 수정함. 121213
$content = preg_replace("/(?<=style)(\s*=\s*[\"\']?xss\:)/i", '="__XSS__', $content);
댓글 전체
일빠~ 감사합니다.
common.php => lib/common.lib.php
수정해 놓았습니다. 감사합니다.
common.php 에서 열심히 찾다가 사노라가노라 님 댓글보고 수정 했어요ㅎㅎ
감사 합니다~
감사 합니다~
수고요~ ^^
감사합니다.
감사합니다.
감사합니다.
감사합니다~
감사합니다.
감사합니다
감사합니다.
감사합니다.
감사합니다.
감사합니다.
감사합니다.
정말 감사합니다.
감사합니다. (__)
감사합니다
감사합니다~
추운데...
감사합니다.
감사합니다.
고맙습니다. 복받으세요.
감사합니다.
감사합니다.
감사합니다
잘 쓰겠습니다
잘 쓰겠습니다
늘 감사드려요~!!! 수곳~!!
감사드려요~~
감사합니다~
감사합니다
감사용~
감사합니다.
감사 합니다
늘 감사드립니다
감사합니다
감사합니다~~^^
감사합니다.
보안패치가 잘못되었습니다. 핵심은 xss:에 있는게 아닙니다. 그 뒤에 나오는 expression 함수가 자바스크립트 코드를 사용할 수 있다는 게 핵심일 뿐입니다. 보통 expression을 막아놓는데 그걸 피하기 위해 중간에 역슬레쉬를 넣어서 빠져나갈 수 있다는 겁니다. 위의 패치는 아무 의미없습니다.
감사합니다.
감사합니다. 지금 설치중입닏.ㅏ ^^
감사합니다~
감사 감사해요
감사합니다.^^
감사합니다.~~~
감사합니다
감사합니다.^^
잘 사용하겠습니다!!ㅎㅎ
잘 쓸께요~!!
감사합니다....^^
매번 감사합니다....^^
늘 감사합니다. 계속 더 발전하시길 바랍니다.
새해 복 많이 받으시고 잘 쓰겠습니다.
감사합니다
룰루 감사
감사합니다.
감사합니다~
감사합니다.
감사합니다.