그누보드의 XSS 취약점 패치가 너무 잦다고 생각하신다면 > 그누4 다운로드

그누4 다운로드

여러분께서 보고 계시는 이 사이트는 그누보드4 최신버전으로 제작, 운영되고 있습니다.
SIR은 그누보드를 만들 뿐 프로그램의 설치, 운영방법, 설정문제에 관한 도움을 드리지는 않습니다.

그누보드의 XSS 취약점 패치가 너무 잦다고 생각하신다면 정보

그누보드의 XSS 취약점 패치가 너무 잦다고 생각하신다면

본문

폼으로 전송되어 내용에 HTML 이 적용되는 필드는 XSS  취약점에서 자유로울수 없습니다.
그것이 그누보드 이거나 또는 타 BBS, CMS 프로그램 이거나를 가리지 않습니다.
다만, 이런 취약점이 알려졌지만 빨리 패치가 되느냐? 되지 않는냐? 의 차이점만 있을수 있습니다.

XSS 취약점에서 자유로울수 있는 경우는 어떤 내용을 HTML 로 입력 받았더라도
strip_tags 함수를 사용하여 태그를 무력화 시키게 되면 비로소 XSS 취약점에서 자유로울수
있습니다.

우선 어떤 필드에 HTML 사용을 가능하게 하였다면 아래와 같은 조건들을 모두다(?) 막아 놓으셔야 합니다.
https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet

또한, 위 조건들을 모두 막았다고 하더라도 아직 공개되지 않은 취약점이 있을수 있으므로
HTML 사용시의 XSS 취약점을 완벽하게 해결하는 방안은 없다고 봐야 합니다.

그래서 요즘은 태그를 사용하지 않지만 글자를 진하게 하는 등의 효과를 내기 위하여
헛점이 많은 <> 태그를 사용하는 대신에 ** 로 문자열을 감싸는 방식으로 처리를 하는 경우도
있습니다.
https://github.com/adam-p/markdown-here/wiki/Markdown-Cheatsheet

아직 그누보드는 <> 를 감싼 태그를 사용하여 글 작성을 하므로 XSS 취약점에서 자유로울수 없으며
<> 태그를 사용하는한 앞으로도 자유로울수 없을것 입니다.

그누보드의 보안패치가 자주 올라오는 이유를 이제 어느 정도는 공감하시겠죠?

댓글 전체

저는 XSS취약점에 대해서는 자세하게는 모르지만, 항상 그누보드 보안패치에 노력해주신 관리자님, KISA관계자분 등 이외 많은분께 감사드립니다.
그누보드는 꾸준히 관심을 갖고 노력하며 사용자들을 위해 항상 배려해주시는 관리자님이 있기에 신뢰할 만하다고 생각합니다.
그리고 보안 업데이트에 항상 감사드립니다.
http://www.php.net/manual/en/function.strip-tags.php 에 허용 태그를 두번째 인수로 줄 수 있는 것을 어제야 첨 알았네요... ㅜㅜ 난 바버!ㅜㅜ 일부 허용하고자하는 태그만 넣는 것으로 - 화려함과는 거리가 좀 있지만, - 한번 사용을 해보려해보는 참입니다... :)
음.. 잘 봤습니다. 스쿨에 글 작성자님은 그누보드 사용자들이 전부다 프로그래머인줄 착각하는거 같습니다. 어설픈 프로그래머도 있고, 웹디자이너들도 많이 있고.... 말씀대로 공개보드가 기술적인 부분에서 최첨단을 달릴수는 없겠지만, 스쿨에다 그런 글을 적기 보다는.. 그누가 패치될때마다.."'xxx'님께서 알려주셨습니다."처럼.. 기술적인 해결방안을 조언해주시면 많은 그누 사용자들의 존경을 받을 수 있을 것 같네요..
전체 67 |RSS
그누4 다운로드 내용 검색

회원로그인

(주)에스아이알소프트 / 대표:홍석명 / (06211) 서울특별시 강남구 역삼동 707-34 한신인터밸리24 서관 1404호 / E-Mail: admin@sir.kr
사업자등록번호: 217-81-36347 / 통신판매업신고번호:2014-서울강남-02098호 / 개인정보보호책임자:김민섭(minsup@sir.kr)
© SIRSOFT