보안업체에서 보완취약점을 통보했는데 처리방법좀 알려주세요.. 정보
보안업체에서 보완취약점을 통보했는데 처리방법좀 알려주세요..
본문
1. 첫번째 내용
취약점 : Cross Site Scripting
해당정보 : /bbs/board.php
점검내용 :
?bo_table=bbs07&sca=<script>var%20wvs_xss_test_variable=1426099680;alert(wvs_xss_test_variable);</script>&sfl=wr_subject&stx=1&sop=and
bo_table=bbs07&sfl=<script>var%20wvs_xss_test_variable=480460299;alert(wvs_xss_test_variable);</script>&stx=1&spt=1&page=1&sw=1
bo_table=bbs07&sfl=><script>var%20wvs_xss_test_variable=949272687;alert(wvs_xss_test_variable);</script>&stx=1&spt=1&page=1&sw=1
비고 : input 데이터 부분에 스크립트언어 검색 필요 혹은 특수 문자 검색필요 처리바람
2. 두번째 내용
취약점 : SQL injection
해당정보 : /bbs/board.php
점검내용 :
bo_table=bbs07&sfl='&stx=1&spt=1&page=1&sw=1
bo_table=bbs07&sfl='&stx=1&spt=1&page=1&sw=1
bo_table=bbs07&sfl='&stx=1&spt=1&page=1&sw=1
bo_table=bbs07&sfl=%27&stx=1&spt=1&page=1&sw=1
bo_table=bbs07&sfl=%27&stx=1&spt=1&page=1&sw=1
bo_table=bbs07&sfl=%27&stx=1&spt=1&page=1&sw=1
bo_table=bbs07&sfl=%2527&stx=1&spt=1&page=1&sw=1
bo_table=bbs07&sfl=%2527&stx=1&spt=1&page=1&sw=1
bo_table=bbs07&sfl=%2527&stx=1&spt=1&page=1&sw=1
비고 : 파라미터 부분에 특수 문자 검색(', %27, %2527 등등) 처리바람
위 2개의 메세지를 받았습니다.
처리방법 아시는분 계시면 답변 부탁드립니다...
댓글 전체
통보내용으로 봐서 계약을 맺고 점검해 준 것으로 보이는군요.
계약서를 잘 살펴보시고, 처리방법을 알려 달라고 하십시요.
보통 보안점검은 처리방법까지 알려 줘야 맞습니다.
만약 계약을 맺고 점검한게 아니라면 무단침입으로 간주하십시요.
계약서를 잘 살펴보시고, 처리방법을 알려 달라고 하십시요.
보통 보안점검은 처리방법까지 알려 줘야 맞습니다.
만약 계약을 맺고 점검한게 아니라면 무단침입으로 간주하십시요.
^^
bbs/board.php
if(eregi("<|>|javascript|script|onclick",$bo_table)) alert_close("게시판이름으로 사용할수 없는 단어입니다.");
if(eregi("<|>|javascript|script|onclick",$sca)) alert_close("카데고리 이름으로 사용할수 없는 단어입니다.");
if(eregi("<|%|'|script|onclick",$sfl)) alert_close("정렬에선 사용할수 없는 단어입니다.");
if(eregi("<|>|javascript|script|onclick",$bo_table)) alert_close("게시판이름으로 사용할수 없는 단어입니다.");
if(eregi("<|>|javascript|script|onclick",$sca)) alert_close("카데고리 이름으로 사용할수 없는 단어입니다.");
if(eregi("<|%|'|script|onclick",$sfl)) alert_close("정렬에선 사용할수 없는 단어입니다.");
감사합니다
테스트 해보니 3가지의 alert_close 로 걸러내지는것 같습니다.
복 많이 받으세요 ^^*
테스트 해보니 3가지의 alert_close 로 걸러내지는것 같습니다.
복 많이 받으세요 ^^*
제가 끄적여둔 방법이 맞는 방법인지는 모릅니다.^^
그냥 생각나는 대로 링크에서 넘어오는 단어만 검사 하도록 해둔 거랍니다.ㅡ.ㅡ;
그냥 생각나는 대로 링크에서 넘어오는 단어만 검사 하도록 해둔 거랍니다.ㅡ.ㅡ;
