|
|
 
| Á¦¸ñ |
±¹³» °ø°³ À¥°Ô½ÃÆÇ(ÀͽºÇÁ·¹½º¿£Áø) XSS, À¥½©»ðÀÔ Ãë¾àÁ¡ º¸¾È ¾÷µ¥ÀÌÆ® |
Á¶È¸¼ö |
2,535°Ç |
¡à °³¿ä
o ±¹³» PHP±â¹ÝÀÇ °ø°³ À¥ °Ô½ÃÆÇÀÎ ÀͽºÇÁ·¹½º¿£Áø¿¡¼ XSS, À¥½©ÄÚµå »ðÀÔ Ãë¾àÁ¡ÀÌ ¹ß°ßµÊ
[1]
o Ãë¾àÇÑ ¹öÀüÀ» »ç¿ëÇÏ°í ÀÖÀ» °æ¿ì, ¾ÇÀÇÀûÀÎ ½ºÅ©¸³Æ®¸¦ ÀÌ¿ëÇÏ¿© °ü¸®ÀÚ ±ÇÇÑÅ»Ãë, Çǽ̻çÀÌÆ®
À¯µµ, ¾Ç¼ºÄÚµå °æÀ¯Áö/À¯Æ÷Áö »çÀÌÆ® À¯µµ µîÀÇ ÇÇÇظ¦ ÀÔÀ» ¼ö ÀÖÀ½
o ¶ÇÇÑ, ȨÆäÀÌÁö ÇØÅ·¿¡ ÀÇÇØ À¥¼¹ö ¿ø°ÝÁ¦¾î, ȨÆäÀÌÁö º¯Á¶, µ¥ÀÌÅͺ£À̽º Á¤º¸ À¯Ãâ µîÀÇ ÇÇÇظ¦
ÀÔÀ» ¼ö ÀÖÀ¸¹Ç·Î À¥ °ü¸®ÀÚÀÇ Àû±ØÀûÀÎ Á¶Ä¡ ÇÊ¿ä
¡à ÇØ´ç½Ã½ºÅÛ
o ¿µÇâ¹Þ´Â ¼ÒÇÁÆ®¿þ¾î[1]
- ÀͽºÇÁ·¹½º
¿£Áø1.5.3.1(1.4.5.10Æ÷ÇÔ) ¹× ÀÌÀü ¹öÀü
¡à ÇØ°á¹æ¾È
o ±âÁ¸ ÀͽºÇÁ·¹½º ¿£Áø »ç¿ëÀÚ´Â ¾÷µ¥ÀÌÆ®°¡ Àû¿ëµÈ »óÀ§ ¹öÀüÀ¸·Î ¾÷±×·¹À̵å
[2]
¡Ø ÆÐÄ¡ ÀÛ¾÷ ÀÌÀü¿¡ ¹Ýµå½Ã Database ¹× ¿øº» ¼Ò½ºÄÚµåÆÄÀÏÀº ¹é¾÷
ÇÊ¿ä
o ÀͽºÇÁ·¹½º ¿£ÁøÀ» »õ·Î ¼³Ä¡ÇÏ´Â ÀÌ¿ëÀÚ
- ¹Ýµå½Ã º¸¾ÈÆÐÄ¡°¡ Àû¿ëµÈ
ÃֽŹöÀü(1.5.3.2 beta)À» ¼³Ä¡
¡à ¿ë¾î Á¤¸®
o PHP : µ¿ÀûÀÎ À¥»çÀÌÆ®¸¦ ±¸ÇöÀ» À§ÇØ °³¹ßµÈ ¼¹ö Ãø ½ºÅ©¸³Æ® ¾ð¾î
o XSS (Cross Site Scripting) : °ø°ÝÀÚ°¡ ½ºÅ©¸³Æ® ¾ð¾î¸¦ ¾Ç¿ëÇÏ¿©, À¥ÆäÀÌÁö¿¡
Á¢±ÙÇÏ´Â »ç¿ëÀÚ°¡ ¾ÇÀÇÀûÀÎ ½ºÅ©¸³Æ®¸¦ ½ÇÇàÇÏ°Ô ÇÏ´Â Ãë¾àÁ¡
o À¥½©(Webshell) : php, jsp, asp µî ½ºÅ©¸³Æ® ¾ð¾î·Î µÇ¾î ÀÖÀ¸¸ç, ¿ø°Ý¿¡¼
À¥¼¹ö¸¦ Á¦¾îÇÒ ¼ö ÀÖ¾î ´Ù¾çÇÑ °ø°Ý »ç¿ëµÉ ¼ö ÀÖ´Â À¥¼¹öÇü ¾Ç¼ºÄÚµå
o ÀͽºÇÁ·¹½º¿£Áø : PHP¾ð¾î·Î ÀÛ¼ºµÈ ȨÆäÀÌÁö¿ë °Ô½ÃÆÇ ¼ÒÇÁÆ®¿þ¾î ¶Ç´Â ÇÁ·¹ÀÓ
¿öÅ©
¡à ¹®ÀÇ»çÇ×
o Çѱ¹ÀÎÅͳÝÁøÈï¿ø ÀÎÅͳÝħÇØ´ëÀÀ¼¾ÅÍ: ±¹¹ø¾øÀÌ 118
¡à ±âŸ
o º» Ãë¾àÁ¡ Áß XSS Ãë¾àÁ¡Àº Krcert ȨÆäÀÌÁö¸¦ ÅëÇØ ¹Ú¼¼¿í´Ô²²¼ Á¦°øÇØÁּ̽À´Ï´Ù.
o º» Ãë¾àÁ¡ Áß À¥½©»ðÀÔ Ãë¾àÁ¡Àº Krcert ȨÆäÀÌÁö¸¦ ÅëÇØ SK ÀÎÆ÷¼½, Àå°æĨ(Black
Falcon)´Ô²²¼ Á¦°øÇØÁּ̽À´Ï´Ù.
[Âü°í»çÀÌÆ®]
[1]http://code.google.com/p/xe-core/wiki/ReleaseNote_1_5_3_2
[2]http://www.xpressengine.com/index.php?mid=download&category_srl=20103508&parent_srl=18322917&package_srl=20103663
|
|
