이거 인젝션 맞나요?

이거 인젝션 맞나요?

QA

이거 인젝션 맞나요?

본문

안녕하세요

 

거의 5개월을 해킹건으로 고생하다가

오늘 서버 회사에서 해킹 답변을 받았습니다

 

test.html?page=if(now()%3dsysdate()%2csleep(10)%2c0)/*'XOR(if(now()%3dsysdate()%2csleep(10)%2c0))OR'%22XOR(if(now()%3dsysdate()%2csleep(10)%2c0))OR%22*/&sca=&section=vip_live&sfl=wr_subject&sop=and&stx=1

 

 

이런식으로, if(now()%3dsysdate()%2csleep(10)%2c0)/*'XOR(if(now()%3dsysdate()%2csleep(10)%2c0))OR'%22XOR(if(now()%3dsysdate()%2csleep(10)%2c0))OR%22*/

 

정상적인 파라미터가 아닌걸로 접속하고 잇는데요.

 

이런거 막으려면 어떻게 해야하나요?

 

php.ini에 magic_quotes_gpc 는 On 으로 돼있습니다.

이 질문에 댓글 쓰기 :

답변 1

php 에서 page 값을 기본적으로 체크해야 될 것 같군요... 
if(!is_numeric($page)) $page = 1;

아..  그렇네요ㅕ....
page 말고도, 다른 인젝션은 어찌 해야.. 근본 해결이 될까요?

작업문의에도 올린 상태지만..  시간이 금인지라, 속히 해결을 해야할 상황입니다.

기본적으로 그누보드의 common.php를 인크루드하고 있어서
그 안에 인젝션 방지는 돼있던데.. 다른 인젝션 방법인가 해서. 걱정이 됩니다. ;;

답변을 작성하시기 전에 로그인 해주세요.
전체 91
QA 내용 검색

회원로그인

(주)에스아이알소프트 / 대표:홍석명 / (06211) 서울특별시 강남구 역삼동 707-34 한신인터밸리24 서관 1404호 / E-Mail: admin@sir.kr
사업자등록번호: 217-81-36347 / 통신판매업신고번호:2014-서울강남-02098호 / 개인정보보호책임자:김민섭(minsup@sir.kr)
© SIRSOFT