그누보드5 innerHtml, XSS 보안문제

그누보드5 innerHtml, XSS 보안문제

QA

그누보드5 innerHtml, XSS 보안문제

답변 3

본문

아래는 어제 했던 질문 인데 제가 질문을 잘못했는지 답을 못얻었습니다.

그래서 고민을 하다가 아래 호스트 다음에 있는 주소들이 게시판 게시물 주소라는 것을 알았는데

웹페이지에서 들어갈때하고 주소가 다르다는 것을 알았습니다.

 

예를 들면  주소

 

http://210.112.128.134/bbs/board.php?bo_table=notice&wr_id=3&sst=wr_datetime&sod=desc&sop=and&page=1

 

와 

 

http://210.112.128.134//bbs/board.php?bo_table=notice&wr_id=3&page=1

 

는 같은 게시판 게시물을 나타냅니다. (확인을 하실수는 없습니다. 등업이 안되면 보실수 없습니다)

 

&sst=wr_datetime&sod=desc&sop=and&

 

이 부분이 취약점 보고서에서 보내온 주소에는 들어가 있습니다.

 

이렇게 나오는게 문제 인것 같은데  '게시판 주소'를 관리하는 php파일은 무엇인가요?

 

OS는 fedora 30 APM 최신 버전이구요 그누보드 5.3.3.2입니다.  인스톨하고 innerHtml과 관련된 것은 수정한것이 없습니다.

 

 

 

어제 질문:

 

보안업체로 부터 취약점 보고서를 받았는데 다음과 같습니다. 어디서 어떤 파일을 고쳐야 하는지 제가 하수라 잘 모르겠습니다. 도움 부탁드립니다.

 

>상세설명

자바 스크립트 클라이언트 쪽 사용 시 .innerText 사용은 자동으로 text를 인코딩할 때 발생하는 XSS 문제점을방지한다.


* 참고 사이트:

 

> 조치방법

자바 스크립트 클라이언트 쪽 사용 시, .innerHtml 대신에 .innerText를 사용하여야 한다.

 

> 호스트

210.112.128.134

80 포트 : [/bbs/board.php?bo_table=notice&wr_id=5&device=mobile]
80 포트 : [/bbs/board.php?bo_table=notice&wr_id=5&device=pc]
80 포트 : [/bbs/board.php?bo_table=notice&wr_id=5&sst=wr_datetime&sod=asc&sop=and&page=1]
80 포트 :
[/bbs/board.php?bo_table=notice&wr_id=5&sst=wr_datetime&sod=desc&sop=and&page=1&device=mobile]
80 포트 : [/bbs/board.php?bo_table=notice&wr_id=5&sst=wr_datetime&sod=desc&sop=and&page=1]
80 포트 : [/bbs/board.php?bo_table=notice&wr_id=5&sst=wr_hit&sod=asc&sop=and&page=1]
80 포트 :
[/bbs/board.php?bo_table=notice&wr_id=5&sst=wr_hit&sod=desc&sop=and&page=1&device=mobile]
80 포트 : [/bbs/board.php?bo_table=notice&wr_id=5&sst=wr_hit&sod=desc&sop=and&page=1]
80 포트 : [/bbs/board.php?bo_table=notice&wr_id=5]

.

.

.

.

입니다.

이 질문에 댓글 쓰기 :

답변 3

자바 스크립트 클라이언트 쪽 파일이 뭔지 모르겠더군요

 

/var/www/html/skin/board/basic/view_comment.skin.php

/var/www/html/skin/board/gallery/view_comment.skin.php

/var/www/html/mobile/skin/board/basic/view_comment.skin.php

/var/www/html/mobile/skin/board/gallery/view_comment.skin.php

/var/www/html/theme/basic/skin/board/basic/view_comment.skin.php

/var/www/html/theme/basic/skin/board/gallery/view_comment.skin.php

/var/www/html/theme/basic/mobile/skin/board/basic/view_comment.skin.php

/var/www/html/theme/basic/mobile/skin/board/gallery/view_comment.skin.php

/var/www/html/theme/company/mobile/skin/board/basic/view_comment.skin.php

/var/www/html/theme/company/mobile/skin/board/gallery/view_comment.skin.php

 

에서 찾아 바꿨습니다.

 

이것이 정답인지는 모르겠지만요

답변을 작성하시기 전에 로그인 해주세요.
QA 내용 검색
질문등록
전체 17,127
© SIRSOFT
현재 페이지 제일 처음으로