그누보드 자바스크립트 사용에 관하여... 정보
그누보드 그누보드 자바스크립트 사용에 관하여...관련링크
본문
제로보드의 버그 신고란에서 다음과 같은 내용을 확인했습니다.
문제는 html과 javascript를 이용한 Cross-Site Scripting Vulnerabilities 를 이용한 해킹 또는
익스플로어 BOF를 유발시킬수 있습니다.
예제 1.
ps. HTML 사용가능 하기를 선택했을 때로 한정 됩니다.
자바스크립 공격과 관련된 문서
http://www.lastlog.com/board/view.php?code=_security&mode=normal&page=&searchs=searching_no&category=&key_how=&key_where=&key=&scrap_id=&scrap_category=&num=30:30:_security
Cross-Site Scripting Vulnerabilities 관련된 문서
http://www.lastlog.com/board/view.php?code=_security&mode=normal&page=&searchs=searching_no&category=&key_how=&key_where=&key=&scrap_id=&scrap_category=&num=19:19:_security
제로보드에 있던 내용은 다음과 같습니다.
=======================================================================================================
이벤트 자바스크립트사용으로 리다이렉션 및 사이트수정행위가 가능합니다. 보안상 문제가 있을듯하니 고쳤으면 합니다.
img name=zb_target_resize style="cursor:hand" ondblClick=window.open(this.src) src="a" width=0 height=0 onerror="alert('스크립트 사용이 가능합니다.');"
=======================================================================================================
댓글 전체
'prosper'님께서 말씀하신 내용중에서 '치환'하는 방법은 제 짧은 생각으로는 다시금 공격당할 여지를
남길 것 같습니다.
그러나 '무력화'라는 부분의 한계를 이해하기가 난해하지만(흐~* 바보라서 ㅜ.x;),
게시판 내에서는 해당코드(자바스크립트)를 '무력화'시키는 방법이 나을 듯 합니다.
아... 홈페이지 접속을 못하는 경우가, '프록시'때문은 아닐까 생각을 해 봅니다만...
일반 가정에서 초고속 통신망을 이용하는 경우는 홈페이지 접속이 원활하지 않을까 생각이 듭니다.
남길 것 같습니다.
그러나 '무력화'라는 부분의 한계를 이해하기가 난해하지만(흐~* 바보라서 ㅜ.x;),
게시판 내에서는 해당코드(자바스크립트)를 '무력화'시키는 방법이 나을 듯 합니다.
아... 홈페이지 접속을 못하는 경우가, '프록시'때문은 아닐까 생각을 해 봅니다만...
일반 가정에서 초고속 통신망을 이용하는 경우는 홈페이지 접속이 원활하지 않을까 생각이 듭니다.
흐~*
제 짧은 생각때문에('단순히 어떤 문제점을 안고 있는 대상을 외부 표현형식만 바꾼다고 속성까지 바뀔까'라는...)
일말의 '공격 가능성'을 생각했었는데 그것이 아닌가 봅니다.(부끄~*)
제 짧은 생각때문에('단순히 어떤 문제점을 안고 있는 대상을 외부 표현형식만 바꾼다고 속성까지 바뀔까'라는...)
일말의 '공격 가능성'을 생각했었는데 그것이 아닌가 봅니다.(부끄~*)
아.. 이상하게 bind9이상부터 저희 named 세팅을 잡지 못하는경우가 발생하더군요..
dns세팅을 168.126.63.1로 잡아보시고 www.lastlog.com 을 클릭해보세요..
이상하게 네임서버는 정상이라고 하는데 많은 분들께서 홈페이지를 못들어 오네요 ㅠㅠ;
dns세팅을 168.126.63.1로 잡아보시고 www.lastlog.com 을 클릭해보세요..
이상하게 네임서버는 정상이라고 하는데 많은 분들께서 홈페이지를 못들어 오네요 ㅠㅠ;
아.. 이미 그누보드에서 치환해서 사용중이네요..
결국 현재sir의경우는 말씀하신 script_use 의세팅이 1로 되어있고..말씀하셨다시피 0으로 바꾸면 되는군요.
그누보드의 세팅을 좀더 세밀하게 관찰했어야 되는데..
배포할때 script_use 값이 0 으로 되어있으면 하는 바람이 있습니다 :)
lib/gnuboard.lib.php 내용중 83번 라인에 해당 치환이 되어버리네요.
// 내용을 변환
function conv_content($content, $html)
{
// 본문생략
}
ps. 빨간앵두님 치환의 경우 문제가 되는것은 다국어지원과 유니코드등의 캐릭셋 문제가 발생할 소지가 있습니다.
이또한 모든 웹상의 홈페이지에서 생각해야되는 문제인듯 싶네요..
특별히 치환시 문제가 발생할 가능성이 있는지요?
어째꺼나 제가 잘 알지 못하여 생긴 헤프닝인듯 싶습니다 :)
결국 현재sir의경우는 말씀하신 script_use 의세팅이 1로 되어있고..말씀하셨다시피 0으로 바꾸면 되는군요.
그누보드의 세팅을 좀더 세밀하게 관찰했어야 되는데..
배포할때 script_use 값이 0 으로 되어있으면 하는 바람이 있습니다 :)
lib/gnuboard.lib.php 내용중 83번 라인에 해당 치환이 되어버리네요.
// 내용을 변환
function conv_content($content, $html)
{
// 본문생략
}
ps. 빨간앵두님 치환의 경우 문제가 되는것은 다국어지원과 유니코드등의 캐릭셋 문제가 발생할 소지가 있습니다.
이또한 모든 웹상의 홈페이지에서 생각해야되는 문제인듯 싶네요..
특별히 치환시 문제가 발생할 가능성이 있는지요?
어째꺼나 제가 잘 알지 못하여 생긴 헤프닝인듯 싶습니다 :)
'prosper'님께서 참조링크를 남겨주신 곳은 연결이 안되고 있네요.
일단은 그누보드에서 게시물 작성시 '자바스크립트 사용'을 해제하고 있습니다만...
자바스크립트 사용/해제 설정을 위한 소스코드 위치
/gnu3/config.php 파일에서,
문자열 검색을 이용해 '스크립트'라는 부분을 찾아 설정값을 해제 ===> '0' 으로 설정.
일단은 그누보드에서 게시물 작성시 '자바스크립트 사용'을 해제하고 있습니다만...
자바스크립트 사용/해제 설정을 위한 소스코드 위치
/gnu3/config.php 파일에서,
문자열 검색을 이용해 '스크립트'라는 부분을 찾아 설정값을 해제 ===> '0' 으로 설정.
하단에 cross-site scripting error의 의미와 구현에 관한 내용을 찾아서 기재해 봅니다.
참고로 'prosper'님께서 작성하신 현재의 게시물을 하단에 기재되어 있는 내용에서는 언급되지 않은
Mozila계열에서 열람해도 동일한 오류를 맞딱뜨리게 됩니다.
[cross-site scripting error의 설명]
MS는 이번에 발견된 결함 중 3개를 치명적인 것으로 분류했고, 이 중 한개가 IE 6.0에만 영향을 미치는 크로스 사이트 스크립팅 에러(cross-site scripting error)로 공격자나 웜이 감염된 컴퓨터의 프로그램을 구동하는 것을 가능케 한다고 밝혔다.
"이 중 두 개가 정보 누출 가능성 때문에 특히 치명적이나, 전반적인 요구사항은 심한 편"이라고 MS의 시큐리티 대책 팀의 보안 프로그램 매니저인 크리스토퍼 버드가 말했다.
첫번째 결함은 브라우저가 링크 내에 있는 정보를 다른 브라우저로 보낼 때 나타난다. 크로스 사이트 스크립팅으로 알려진 이 기술은 공격자가 악의적인 사용자에 의해 세분화된 프로그램을 다른 사이트에서 구동시키는 것을 가능케 한다. MS가 지난 15일 밝힌 이 결함의 대략적인 특징은 공격자가 악의적인 링크로 웹페이지를 호스팅하거나 e-메일을 통해 HTML 명령어를 보내는 것을 요구한다는 것이다.
사용자 정보를 훼손시킬 수 있는 이 두가지 치명적인 결함은 CSS(cascading style sheets)로 알려진 IE의 인기 사이트 템플릿을 다루는 것과 쿠키를 프로세싱하는 방식 때문에 발생한다. 이 둘은 작업할 타깃 시스템에 파일명을 정확히 입력할 것을 요구하는데 이는 위험률을 줄이기 위한 것이다.
다른 결함과 패치는 권고문에서 볼 수 있다.
윈도우 XP 사용자들은 OS에 의해 패치가 자동 업데이트되며, XP 이외의 윈도우 사용자들은 윈도우 업데이트 사이트에서 패치를 다운받아야 한다.
2MB 용량의 다운로드에는 기존의 IE 5.01, 5.5, 6.0의 수정 버전 모두와 최근 발견된 6개의 결함에 대한 패치 등이 포함된다.
패치뿐 아니라 소프트웨어까지 업데이트하면 새로운 기능이 추가되며 모든 프레임을 차단하는 '제한된 사이트(Restricted Sites)' 지역의 디폴트 설정이 제한된다.
<출처> zdnet.co.kr
참고로 'prosper'님께서 작성하신 현재의 게시물을 하단에 기재되어 있는 내용에서는 언급되지 않은
Mozila계열에서 열람해도 동일한 오류를 맞딱뜨리게 됩니다.
[cross-site scripting error의 설명]
MS는 이번에 발견된 결함 중 3개를 치명적인 것으로 분류했고, 이 중 한개가 IE 6.0에만 영향을 미치는 크로스 사이트 스크립팅 에러(cross-site scripting error)로 공격자나 웜이 감염된 컴퓨터의 프로그램을 구동하는 것을 가능케 한다고 밝혔다.
"이 중 두 개가 정보 누출 가능성 때문에 특히 치명적이나, 전반적인 요구사항은 심한 편"이라고 MS의 시큐리티 대책 팀의 보안 프로그램 매니저인 크리스토퍼 버드가 말했다.
첫번째 결함은 브라우저가 링크 내에 있는 정보를 다른 브라우저로 보낼 때 나타난다. 크로스 사이트 스크립팅으로 알려진 이 기술은 공격자가 악의적인 사용자에 의해 세분화된 프로그램을 다른 사이트에서 구동시키는 것을 가능케 한다. MS가 지난 15일 밝힌 이 결함의 대략적인 특징은 공격자가 악의적인 링크로 웹페이지를 호스팅하거나 e-메일을 통해 HTML 명령어를 보내는 것을 요구한다는 것이다.
사용자 정보를 훼손시킬 수 있는 이 두가지 치명적인 결함은 CSS(cascading style sheets)로 알려진 IE의 인기 사이트 템플릿을 다루는 것과 쿠키를 프로세싱하는 방식 때문에 발생한다. 이 둘은 작업할 타깃 시스템에 파일명을 정확히 입력할 것을 요구하는데 이는 위험률을 줄이기 위한 것이다.
다른 결함과 패치는 권고문에서 볼 수 있다.
윈도우 XP 사용자들은 OS에 의해 패치가 자동 업데이트되며, XP 이외의 윈도우 사용자들은 윈도우 업데이트 사이트에서 패치를 다운받아야 한다.
2MB 용량의 다운로드에는 기존의 IE 5.01, 5.5, 6.0의 수정 버전 모두와 최근 발견된 6개의 결함에 대한 패치 등이 포함된다.
패치뿐 아니라 소프트웨어까지 업데이트하면 새로운 기능이 추가되며 모든 프레임을 차단하는 '제한된 사이트(Restricted Sites)' 지역의 디폴트 설정이 제한된다.
<출처> zdnet.co.kr
