그누보드 4 보안 취약점 발견 문의
본문
그누보드4에서 검색하면
사이트/bbs/board.php?bo_table=g4_qna&sca=&sfl=wr_subject&stx=나나
이런 구조로 필드값이 노출되는데요.
이 필드명을 임의적으로 뒤에 aa를 붙여서 wr_subjectaa
이런식으로 고친다면 아래처럼 SQL 구문이 노출됩니다.
select count(distinct wr_parent) as cnt from g4_write_g4_qna where ((INSTR(wr_subjectaa, '나나')) ) and (wr_num between '-18789' and '-8789')
1054 : Unknown column 'wr_subjecta' in 'where clause'
error file : /bbs/board.php
이게 보안 상 위험할 수도 있다고 하던데..
이거에 대한 대비책이 없을까요??
답변을 작성하시기 전에 로그인 해주세요.