[보안패치] 그누보드 4.36.23

위챗(微信)에 공유

| 2013.07.23 16:05:56 댓글: 0 조회: 1943 추천: 0

분류공개소스 https://life.moyiza.kr/itstudy/1977566

4.36.23 (2013.07.11)
: embed 태그의 allowscriptaccess 속성을 이용한 XSS 취약점 해결 (i2sec 최호성님께서 알려 주셨습니다.)
AllowScriptAccess 의 값 always 를 제거하고 never 로 적용하여 플래시에서 스크립트가 실행되지 않도록 합니다.

lib/common.lib.php 에서 conv_content() 함수의 내용 중

//$content = preg_replace("/(sc)(ript)/i", "sc$2", $content);
...
// 플래시의 액션스크립트와 자바스크립트의 연동을 차단하여 악의적인 사이트로의 이동을 막는다.
// value="always" 를 value="never" 로, allowScriptaccess="always" 를 allowScriptaccess="never" 로 변환하는데 목적이 있다.
//$content = preg_replace("/((?<=\<param|\<embed)[^>]+)(\s*=\s*[\'\"]?)always([\'\"]?)([^>]+(?=\>))/i", "$1$2never$3$4", $content);
// allowscript 속성의 param 태그를 삭제한다.
$content = preg_replace("#(<param.*?allowscript[^>]+>)(<\/param>)?#i", "", $content);
// embed 태그의 allowscript 속성을 삭제한다.
$content = preg_replace("#(<embed.*?)(allowscriptaccess[^\s\>]+)#i", "$1", $content);
// object 태그에 allowscript 의 값을 never 로 하여 태그를 추가한다.
$content = preg_replace("#(<object[^>]+>)#i", "$1<param name=\"allowscriptaccess\" value=\"never\">", $content);
// embed 태그에 allowscrpt 값을 never 로 하여 속성을 추가한다.
$content = preg_replace("#(<embed[^>]+)#i", "$1 allowscriptaccess=\"never\"", $content);

추천 (0) 선물 (0명)

민간이야기선집 지명.산수 편--民间故事选集.地名.山水篇 입점신청

위챗 페이스북 트위터 웨이보 IP: ♡.204.♡.47

자료·공부 채널IT공부

총 3,006 개의 글이 있습니다.

제목	글쓴이	날짜	조회
처음 오신분들 필독!!![최종수정일:2003.9.21] 1		2003-09-20	11719
처음 오신분들 필독!!![최종수정일:2003.9.21] 9		2003-09-20	11263
처음 오신분들 필독!!![최종수정일:2003.10.26] 3		2003-09-20	20324
[SAP모임] SAP MM 자격증 공부 3	지구인	2010-08-27	19185
[SAP 모임] SAP 미니 프로젝트 진행 27	지구인	2009-09-07	13474
웹디자인 게시판 사용약관		2010-01-29	15468
공개소스 사용약관 1		2004-10-07	16576
2964 [공개소스] [도로명주소 보완] 그누보드 4.37.03		2014-01-11	2441
2963 [공개소스] [도로명주소 보완] 그누보드 4.37.02		2014-01-07	2597
2962 [공개소스] [도로명주소] 그누보드 4.37.01		2014-01-07	2383
2961 [공개소스] [보안패치] 그누보드 4.36.28		2014-01-07	2050
2960 [공개소스] 그누보드 4.36.27		2014-01-07	1793
2959 [공개소스] 그누보드 4.36.26		2014-01-07	1612
2958 [공개소스] 그누보드 4.36.25		2014-01-07	1178
2957 [공개소스] Magento Ver 1.8.0	즐거운개굴	2013-09-29	3002
2956 [웹 프로그래밍] save xlsx and print 1		2013-09-03	4910
2955 [웹 프로그래밍] ajax 특수문자		2013-08-29	5370
2954 [웹 프로그래밍] spring ajax - json		2013-08-26	4793
2953 [웹 프로그래밍] spring aop aspectj		2013-08-25	3636
2952 [웹 프로그래밍] Spring get bean		2013-08-24	4165
2951 [웹 프로그래밍] spring beans 설정시 외부파일에서 데이터 읽어오기		2013-08-23	4323
2950 [웹 프로그래밍] spring 여러개 DispatcherServlet 셋팅		2013-08-23	3597
2949 [웹 프로그래밍] spring web.xml		2013-08-22	1888
2948 [웹 프로그래밍] log4j		2013-08-10	1625
2947 [웹 프로그래밍] spring + fileupload		2013-08-05	2154
2946 [웹 프로그래밍] Spring 기초		2013-08-05	2092
2945 [웹 프로그래밍] eclpse jquery 셋팅		2013-07-30	1470
[공개소스] [보안패치] 그누보드 4.36.23		2013-07-23	1943