메인 공지사항 기능소개 매뉴얼     TEST BOARD : [1]  [2]  [3]  [4]  [5]
내용없음9
내용없음10
      Main Intro
메인

공지사항

기능소개

매뉴얼

  TEST BOARD
    [1] [2] [3] [4] [5]
최근 30일 POINT RANK
결제충전및 스킨매매 포인트 제외
작은소망
스카라베
아이케
신홍
5
늑대소냐
6
TECHSTAR
7
제우스
8
콜라~
9
동의보감
10
카우스
11
影子
12
쿠루쿠루
13
돌사자
14
차애자
15
백강
16
상옥이
17
이규하
18
seol
19
고길동
20
미미
21
장백산
22
휘앙새
23
꿈의나라
24
NE1
25
청주산의
26
컴테이블
27
봉쌤
28
알알
29
jkt
30
물안개너머
SQL 인젝션 관련 보안패치
 technote notice
테크노트 공지사항
ㆍ작성일: 2011/01/05 (수)
SQL 인젝션 관련 보안패치

* 취약점 : SQL 인젝션 공격
 
* 패치대상 : TECHNOTE6  , TECHNOTE7
 
* 패치방법 :
    1. technote/lib.php  파일에서  아래와 같은 부분을 찾습니다.
         * TECHNOTE 6 버전은 148 ~ 158 번 라인입니다.
         * TECHNOTE 7 버전은 186 ~ 197 번 라인입니다.
         unset($Rconfig);
         unset($Mconfig);
         unset($Bconfig);
         unset($you_Manager);
         unset($you_Member);
         $board=preg_replace("/\W/",'',$board);
         $mboard=preg_replace("/\W/",'',$mboard);
         $no=preg_replace("/\D/",'',$no);
 
     2. 위 코드의 다음 라인에 아래 코드를 새로 추가합니다.
          if($sort) $sort=preg_replace("/\W/",'',$sort);
          if($rank_m_id) $rank_m_id=preg_replace("/\W/",'',$rank_m_id);

          if($reply) $reply=preg_replace("/\W/",'',$reply);
          if($id) $id=preg_replace("/\s|\(/",'',$id);
          if($category) $category += 0;
          if($modify) $modify += 0;
          if($delnum) $delnum += 0;   

 

* 기타 :
    자체적으로 스킨이나 빌더 제작 하실때에도 URL 에 어떤 변수를 실어 보내는 형식의
    새로운 구문(원본 형식에는 없는)을 작성하셨다면, 해당 변수가 인젝션 공격 우려가 있는지
    충분히 검토하시고 조금이라고 우려가 되는 변수라면 위와 같이 필터링을 해 주시기 바랍니다.