|
한수훈 2009-11-17 PM 5:29:09 |
|
|
|
XSS 취약점도 있는것같고 뭐 ㅋㅋ |
|
|
박종훈 2009-11-17 PM 5:48:14 |
|
|
|
해당 게시물은 삭제과 해당 ID를 삭제했습니다.
hkchen0320 라는 이름으로 구글에서 검색해보니 다른 사이트에서도 같은 방식으로 광고글을 올리는듯 하군요.
<img style="CURSOR: hand" onclick=window.open(this.src) src="http://postfiles12.naver.net/20091111_43/ansdydqls667_1257866486902XqtU2_jpg/91_ansdydqls667.jpg?type=w1" onload="location.replace('http://www.edudelf.net')" name=zb_target_resize ?cursor:hand?>
이런 수법으로 페이지를 이동시켜버리네요. |
|
|
한수훈 2009-11-19 PM 6:35:46 |
|
|
|
저게 XSS 취약점인데..
패치하셨나요?? |
|
|
박종훈 2009-11-19 PM 10:35:38 |
|
|
|
간단한 필터링을 해서 막을수는 있습니다만, 완벽하게 막는다는건 사실상 불가능입니다.
물론 상진님께서 PHP를 수정하시는등의 조치를 취하셔서 필터링을 하실겁니다^^
이 문제는 특정 태그를 막는다고 해서 해결될 문제는 아닙니다.
더구나 HTML태그를 허용하지 않는다면 위지윅에디터를 사용할수 없을 뿐더러, 커즈닷컴의 대부분의 게시물이 위지윅에디터를 이용해서 작성된 문서라서 더더욱 그렇고요.
특정 태그를 막는다고 해서 해결될 문제가 아니라는 것은, 모든 태그에는 이벤트 속성을 사용할수가 있는데, onload나 onmouseover등과 같은 것들을 이용하면 자바스크립트를 그대로 사용할수 있기 때문입니다. 그래서, 완벽하게 하려면 이벤트 속성을 막는 방법이 있겠지만, 이또한 우회하는 방법들이 많습니다~;;
따라서, 우리가 해야할 조치는 간단한 필터링을 적용하는 방법이 있을수 있고,
검증된 회원만이 HTML태그를 사용할수 있게끔 하는 방안등이 있겠죠^^;
또한, 새로 태어날 커즈닷컴에서는 다른 게시판을 사용할 예정이어서 그때서는 완벽하게 해결될 겁니다^^ |
|
|
한수훈 2009-11-19 PM 11:01:52 |
|
|
|
지금 새로태어날 커즈는..
상진님께서 열심히 ㅋㅋ
그누보드를 수정중이신 ㅎ |
|
|
이진성 2009-11-20 PM 8:26:46 |
|
|
|
아아.. 여기는 어림도 없는 데 말이죠.. ㅋㅋ |
|
|
지상현 2009-11-21 PM 2:36:59 |
|
|
|
필터에 http 막아두면 다 게임 오버긴 한데요.
쓰면서 좀 귀찮긴 합니다만. |
|
|
|
|
지우개 Expert 3.0 제작자 : 천호성 님 [LINK] |
|
|
|
대박로또2005 제작자 : 최재일 님 [LINK] |
|
|
1 | 박종훈 님 | 15292 점 | |
2 | 지상현 님 | 8809 점 | |
3 | 손상진 님 | 7388 점 | |
4 | 권선중 님 | 6060 점 | |
5 | 이진백 님 | 5174 점 | |
|
|
|
가입일 | 닉네임 |
05/31 | 김동률 |
03/31 | 홍형기 |
09/01 | o00pp99oo |
12/27 | 이재민 |
11/20 | 이희철 |
|
|
|
|
. |
. |
. |