아랫글 문제 있어요 - 열지말고 이글을 봐주세요 정보
아랫글 문제 있어요 - 열지말고 이글을 봐주세요본문
http://www.zeroboard.com/855447
위와 같은 문제 때문에 첨부파일을 붙였더니, 역쉬 문제가 되네요.
아랫글을 열지 마시고... 제로에서 보고된 오류를 봐주세요.
이런거 퍼지면 난감한데, 벌써 사이트에 떴네요. ㅠ..ㅠ
위와 같은 문제 때문에 첨부파일을 붙였더니, 역쉬 문제가 되네요.
아랫글을 열지 마시고... 제로에서 보고된 오류를 봐주세요.
이런거 퍼지면 난감한데, 벌써 사이트에 떴네요. ㅠ..ㅠ
댓글 전체
웹 업로드를 통해서 들어오는 형태인데요..
업로드 파일 자체를 지정하면 되지 않을까 합니다.
이미지 파일이나..텍스트파일..이런식으로 지정하면 좋지 않을까요..
입력내용중에도 VB나 vb로 시작하는 것들을 걸러주고요..
업로드 파일 자체를 지정하면 되지 않을까 합니다.
이미지 파일이나..텍스트파일..이런식으로 지정하면 좋지 않을까요..
입력내용중에도 VB나 vb로 시작하는 것들을 걸러주고요..
이거..... 싸이월드의 방문자 자동 글입력 시스템 같군요.....ㅡ_ㅡ;
swf 파일에 액션스크립트로 location 심어 버리는 건데.......
swf 자체를 막아버려야 하지 않을까요...........
swf 파일에 액션스크립트로 location 심어 버리는 건데.......
swf 자체를 막아버려야 하지 않을까요...........
급한대로 파일의 확장자로 swf를 막아버리면 되네요.
파일을 gif로 바꾸면 안되는데... 아... 참 어렵습니다.
파일을 gif로 바꾸면 안되는데... 아... 참 어렵습니다.
플래쉬 소스 안에 심어져 있군요..
getURL("http://cafe317.daum.net/_c21_/bbs_list?grpid=4sxR&fldid=3Fk5");
getURL("http://cafe317.daum.net/_c21_/bbs_list?grpid=4sxR&fldid=3Fk5");
플레쉬의 경우... 소스를 검사해서 걸러내는 방법은 없을까요???
글쎄요...... 저도 이런쪽으로는 안해봐서 모르겠는데..... 플래쉬에 심어져있는 소스를 빼기는 어렵지 않을까 싶은데용......ㅠ_ㅠ 한번 찾아봐야징~_~
스크립트를 빼지는 않더라도... "너 이거 올리면 죽는다..."라는 경고 메시지만 날려주면 되요. ㅠ..ㅠ
그렇게는 안되지 않나요..
음..
계정 자체에 백신을 설치 하는 방법뿐이 없으려나..음..
다른분덜의 의견은 어떠하신지?
음..
계정 자체에 백신을 설치 하는 방법뿐이 없으려나..음..
다른분덜의 의견은 어떠하신지?
급한데로, /bbs/write_update.php 에서 파일의 확장자가 swf 이면 -x를 뒤에 붙이게 했습니다. 결과적으로 swf를 첨부 못하게 했는데, 원칙적인 해결방법은 아닌거 같아요. ㅠ..ㅠ
어차피..gif로 확장자 바꾸고 들어오면 난감한데..음..
테스트 해보니까 gif로 바뀐 경우에는... 실행이 안되더라구요.
저의 회사서버에는 되던데..서버단에 조치를 해야겟네요..저도..ㅎㅎ
어~ gif가 실행이 되요??? ㅠ..ㅠ... 아 머리아프네요
decompiler 라는게 있긴한데.. 이건 app라 직접설치후 확인해야하는 번거로움이..음..
일단 밥먹고 와서 중간결과를 보고드릴게여..ㅋ
php로 decompile 해서 판독하는걸 만들면 그 사람은 GOD...
옛날에도 모보드에 이런취약점 총공격때문에 골머리 때린 사건이 있었던걸로 들었는데... 확장자 바꿔가면서 SHOW를 했다는데;;
대충 저 원리로 광고하는 사람이 있다는건 알았는데
머리아프네요;;
불당님~ 급한데로 조치 취하는법좀 팁란에 부탁드릴게요;
많은분들이 기다리고 계실듯 부탁드립니다^_^
머리아프네요;;
불당님~ 급한데로 조치 취하는법좀 팁란에 부탁드릴게요;
많은분들이 기다리고 계실듯 부탁드립니다^_^
어~ 진짜로 플레쉬 헤더에 있는 글로 막을 수 있을거 같네요.
오홋..저도 그 방법좀 갈켜주삼
현재까지 급하게 생각한 방법은
/bbs/write_update.php의 169라인부근에서 파일이름 뒤에 -x를 붙이게 하는 것 입니다.
그대신 플레쉬는 동작하지 않는데... 어쩔 수 없죠.
// 아래의 문자열이 들어간 파일은 -x 를 붙여서 웹경로를 알더라도 실행을 하지 못하도록 함
$filename = preg_replace("/\.(php|phtm|htm|cgi|pl|exe|jsp|asp|inc|swf)/i", "$0-x", $filename);
/bbs/write_update.php의 169라인부근에서 파일이름 뒤에 -x를 붙이게 하는 것 입니다.
그대신 플레쉬는 동작하지 않는데... 어쩔 수 없죠.
// 아래의 문자열이 들어간 파일은 -x 를 붙여서 웹경로를 알더라도 실행을 하지 못하도록 함
$filename = preg_replace("/\.(php|phtm|htm|cgi|pl|exe|jsp|asp|inc|swf)/i", "$0-x", $filename);
http://www.sir.co.kr/bbs/board.php?bo_table=cm_free&wr_id=235668
간단하게 해결되었습니다. 포대장님. 감솨 ^^
간단하게 해결되었습니다. 포대장님. 감솨 ^^