이거 인젝션 맞나요?
본문
안녕하세요
거의 5개월을 해킹건으로 고생하다가
오늘 서버 회사에서 해킹 답변을 받았습니다
test.html?page=if(now()%3dsysdate()%2csleep(10)%2c0)/*'XOR(if(now()%3dsysdate()%2csleep(10)%2c0))OR'%22XOR(if(now()%3dsysdate()%2csleep(10)%2c0))OR%22*/&sca=§ion=vip_live&sfl=wr_subject&sop=and&stx=1
이런식으로, if(now()%3dsysdate()%2csleep(10)%2c0)/*'XOR(if(now()%3dsysdate()%2csleep(10)%2c0))OR'%22XOR(if(now()%3dsysdate()%2csleep(10)%2c0))OR%22*/
정상적인 파라미터가 아닌걸로 접속하고 잇는데요.
이런거 막으려면 어떻게 해야하나요?
php.ini에 magic_quotes_gpc 는 On 으로 돼있습니다.
답변 1
php 에서 page 값을 기본적으로 체크해야 될 것 같군요...
if(!is_numeric($page)) $page = 1;
아.. 그렇네요ㅕ....
page 말고도, 다른 인젝션은 어찌 해야.. 근본 해결이 될까요?
작업문의에도 올린 상태지만.. 시간이 금인지라, 속히 해결을 해야할 상황입니다.
기본적으로 그누보드의 common.php를 인크루드하고 있어서
그 안에 인젝션 방지는 돼있던데.. 다른 인젝션 방법인가 해서. 걱정이 됩니다. ;;
답변을 작성하시기 전에 로그인 해주세요.
