xss 공격에 대해서
본문
안녕하세요
- XSS(교차 사이트 스크립팅) 공격: 사용자 입력값을 적절히 인코딩하지 않으면 스크립트가 삽입되어 실행될 수 있습니다.
- SQL 인젝션 공격: 사용자 입력값을 직접 SQL 쿼리에 포함시키는 경우, 악의적인 SQL 구문이 삽입될 수 있습니다.
이것에 대해서 혹시 보안 패치가 되어 있을까요
현제 5.4.15버전 사용 중인데요 /bbs/search.php 전체 검색에서
"><script>alert(/xss/)</script>이렇게 하면 공격성이 된다고 하던데요
혹시 이거 패치 하려면 어디를 패치를 해야 하는지 아니면 패치가 되었다고 한다면 어떤 파일을 넣어야 할지 알려 주시면 감사 드리겠습니다.
답변 3
5.4.15 이후라면 https://github.com/gnuboard/gnuboard5/commit/fe03163cce08287d0ea5a2eab95d506180a2aee2 이것 같네요.
되도록 최신 버전으로 패치하는 걸 권장합니다.
5.4.15 버전 이후로 23회의 보안패치가 있었습니다.
패치에는 하나 이상의 보안취약점이 포함되어있어서 23개를 초과하고, 보안취약점으로 명시하지 않은 잠수함 패치도 자주 보이기 때문에 최신 버전으로 업데이트하는 것을 권장합니다.
패치된 코드는 누구나 쉽게 확인가능하고, 취약점이 공개된 것이나 다름없기 때문에 빠르게 업데이트하는 것이 좋습니다.
그사이에 심각도가 높은 취약점도 여럿 있었고, 최근에 악성코드를 업로드할 수 있는 매우 심각한 보안취약점도 패치되었고 이를 이용한 공격이 행해지고 있기 때문에 정말로 최신버전으로 올리셔야 합니다.
최신버전까지 버전업 패치 하시고..
커스텀 있으면 그부분도 관련 보완처리 하셔야 할거에요.
해당 부분을 어느 부분이다라고 보기는 어렵고 버전 패치를 하던지 해당 부분을 찾아 커스텀하여 적용을 하셔야 할듯 합니다.
Xss참고 https://sir.kr/qa/510250
Sql인젝션 참고 https://sir.kr/g5_pds/6735
