그누프레스 사용중인데 도메인 기관으로부터 XSS 취약점을 지적받았습니다

그누프레스 사용중인데 도메인 기관으로부터 XSS 취약점을 지적받았습니다

QA

그누프레스 사용중인데 도메인 기관으로부터 XSS 취약점을 지적받았습니다

본문

워드프레스 4.2.2 최신버전, 그누프레스 0.1.1 사용중입니다,

도메인 기관에서 XSS 취약점이 발견되었다고 등록을 보류하여 해결책을 알아보던 중에

iframe, script 등의 태그를 막고 화이트리스트로 p, br, img 등만 등록을 하는 방법을 알게 되었는데

적용을 어떻게 해줘야 할지, 코드까막눈이라 막막하네요..ㅠ

화이트리스트, xss 검색을 해보아도 답을 찾기 어려워 질문 남겨봅니다, 도와주세요ㅠㅠ

이 질문에 댓글 쓰기 :

답변 1

워드프레스 내장 함수를 사용해 보세요.

 

http://codex.wordpress.org/Validating_Sanitizing_and_Escaping_User_Data

 

​HTML Purifier 라이브러리를 사용하시는것도 도움이 됩니다. 

 

참고url

http://phpschool.com/link/tipntech/77221 

 

 

그누프레스에 대한 XSS 취약점 보고이면

 

http://sir.co.kr/cm_bug 

 

저희 사이트내 버그 게시판에 취약점 보고 내용을 올려주시면, 조취 하도록 하겠습니다.

 

답변 감사드립니다,
남겨주신 링크의 HTML Purifier 에 대한 내용을 읽어보고 관련 예제도 보았는데 역시 적용법을 모르겠네요ㅠ

"그누프레스에 대한 XSS취약점 보고" 라고 말씀해주신 부분이 혹시,
환경설정에서 에디터 없음으로 하여 나오는 그누프레스 기본 에디터(위지윅 없고 상단 체크박스가 공지/html 만 있는)를 말씀해주신 건가요? 그렇다면 그누프레스 기본에디터 사용시 XSS 취약점은 해결된 상태라고 봐도 될런지요?

도메인 기관에서 테스트받을땐 워드프레스 에디터(위지윅)가 적용된 상태에서 테스트를 했었기에 재차 질문드립니다.

P.S- 항상 친절하신 답변 감사합니다!

도메인 기관에서 XSS 취약점이 발견 됬다고 하면은...
보통 어디 부분이 잘못 됬었다고 얘기를 해 줄텐데요.

그걸 안알려주면 못찾습니다. ㅠ

그누프레스에서 HTML Purifier 사용한 곳은 lib/common.lib.php 에서

g5_html_purifier 으로 검색해 보시면 됩니다.

글 내용은 부분은 에디터 와 textarea 둘 다 똑같이 HTML Purifier 가 적용되었습니다.

답변을 작성하시기 전에 로그인 해주세요.
전체 167
QA 내용 검색

회원로그인

(주)에스아이알소프트 / 대표:홍석명 / (06211) 서울특별시 강남구 역삼동 707-34 한신인터밸리24 서관 1404호 / E-Mail: admin@sir.kr
사업자등록번호: 217-81-36347 / 통신판매업신고번호:2014-서울강남-02098호 / 개인정보보호책임자:김민섭(minsup@sir.kr)
© SIRSOFT