그누보드 4 보안 취약점 발견 문의 채택완료
그누보드4에서 검색하면
사이트/bbs/board.php?bo_table=g4_qna&sca=&sfl=wr_subject&stx=나나
이런 구조로 필드값이 노출되는데요.
이 필드명을 임의적으로 뒤에 aa를 붙여서 wr_subjectaa
이런식으로 고친다면 아래처럼 SQL 구문이 노출됩니다.
select count(distinct wr_parent) as cnt from g4_write_g4_qna where ((INSTR(wr_subjectaa, '나나')) ) and (wr_num between '-18789' and '-8789')
1054 : Unknown column 'wr_subjecta' in 'where clause'
error file : /bbs/board.php
이게 보안 상 위험할 수도 있다고 하던데..
이거에 대한 대비책이 없을까요??
답변 1개
채택된 답변
+20 포인트
10년 전
그누보드4 의 버전이 어떻게 되시는지요?
일단, 제가 관리하는 그누보드4 사이트에서는 sql 구문이 노출되지 않습니다.
최신버전으로 업데이트를 해 보시기 바랍니다.
로그인 후 평가할 수 있습니다
답변에 대한 댓글 1개
댓글을 작성하려면 로그인이 필요합니다.
답변을 작성하려면 로그인이 필요합니다.
로그인