호스팅 호스팅 도메인 마이페이지 고객센터

호스팅 센터 타이틀
견적요청
호스팅연장 도메인연장 호스팅연장 도메인연장
통합웹FTP접속
  • 네임서버
  • 1차
    hns1.nsgodo.com
    IP: 121.254.202.122
  • 2차
    hns2.nsgodo.com
    IP: 211.233.51.4
고객센터 장애신고
안녕하세요. nhngodo 입니다. 정부에서 2020년까지 공공분야 및 민간웹사이트 액티브x 폐지 및 개선 권고안내로 인해 액티브X로 구현되어 있는 호스팅용 고도 통합 웹 FTP 제공을 2019년에 종료 예정에 있습니다. 추후 더 좋은 서비스로 제공 예정이오니 많은 양해 부탁 드리며, 이에 따라 해당 고도 FTP 대신 아래 링크를 통하여 FTP 프로그램을 설치하여 사용하시기를 권장해드립니다. 액티브X란? Internet Explore 사용자가 웹서비스를 이용하는데 필요한 응용 프로그램을 컴퓨터에 자동으로 설치해주는 기술로 컴퓨터의 보안을 일시적으로 해제하는 기능이 있어 보안에 취약하여 정부에서도 액티브 X를 폐지하라고 권고하고 있습니다.
FTP 프로그램 (무료형 프로그램) 다운로드 바로가기
  • FileZilla 다운로드
  • FileZilla 매뉴얼 다운로드
닫기
제목 국내 공개 웹게시판 그누보드4 XSS 취약점 발견 조회수 3,033건

 

 

국내 PHP 기반의 유명 공개 웹 어플리케이션인 그누보드(Gnuboard)에서 XSS(Cross Site Scripting) 보안 취약점이 발견되어 해당 웹 어플리케이션 사용자들은 주의가 필요로 하고있다

 

이번에 발견된 취약점은 파일 업로드 시 파일명에 대한 필터링이 이뤄지지 않는

 

취약점으로 취약한 버전을 사용하고 있을 경우, 악성코드 배포, 하이재킹 공격 등의 피해를 입을 수 있으므로

 

웹 관리자의 적극적인 조치가 필요하다.

이번 그누보드 보안 취약점은 파일 업로드 시 파일명에 대한 필터링이 이뤄지지 않아 발생하는

 

XSS 취약점으로 상황에 따라 바이러스 배포나 세션 하이재킹 공격,

 

CSRF 공격 등으로 이어질 수 있어 주의해야 한다

취약한 그누보드의 버전은 4.36.15이며 내용을 자세히 살펴보면 다음과 같다.



 

 

     ▲ 파일명 변경

리눅스를 이용해 파일명을 위와 같이 <img src=0 onerror=alert(document.cookie)> 변경하여 게시판에 업로드 한다.



 

 

 

  ▲ 파일업로드


 

파일을 업로드 한 뒤 다른 사용자가 게시물을 클릭하게 되면 스크립트가 작동하는 것을 볼 수 있다.



 

 

  ▲ Explorer 9 


    

    ▲ Chrome 24

 

 

확인 결과 Explorer, Chrome, Opera, Firefox 에서 스크립트가 정상적으로 동작하는 것을 확인할 수 있다.

 

한편, img 이외에도 audio, video, iframe 등을 이용했을 때에도 특정 브라우저에서 스크립트가 정상 동작하는 것으로

 

확인 되었으며, 취약점의 해결 방안으로는 파일 업로드시 파일명에 특수문자 혹은 스크립트가 있다면

 

필터링 하는 방법으로 보안 강화가 가능하다
 


bs/write_update.php 에 한줄 추가해 주면된다
 
$filename  = preg_replace('/(\s|\<|\>|\=|\(|\))/', '_', $filename);

 

▲ 조치방법

또한 “현재 해당 취약점은 그누보드 측에 통보했으며 이러한 내용을 전달 받은

 

 

그누보드 측은 취약점에 대해 현재 패치를 수행했고,최신 버전 4.36.16을 배포중이다.

 

 

취약한 버전 사용자들은 보안 패치를 하거나 최신 버전으로 업그레이드 하면 된다


해당 그누보드 취약점과 관련한 패치는 홈페이지 http://sir.co.kr/bbs/board.php?bo_table=g4_pds&wr_id=8425 확인 가능