추천:0
조회:3300
SQL 인젝션 관련 보안패치 - 테크노트 [0]
* 취약점 : SQL 인젝션 공격
* 패치대상 : TECHNOTE6 , TECHNOTE7
* 패치방법 :
1. technote/lib.php 파일에서 아래와 같은 부분을 찾습니다.
* TECHNOTE 6 버전은 148 ~ 158 번 라인입니다.
* TECHNOTE 7 버전은 186 ~ 197 번 라인입니다.
unset($Rconfig);
unset($Mconfig);
unset($Bconfig);
unset($you_Manager);
unset($you_Member);
$board=preg_replace("/\W/",'',$board);
$mboard=preg_replace("/\W/",'',$mboard);
$no=preg_replace("/\D/",'',$no);
2. 위 코드의 다음 라인에 아래 코드를 새로 추가합니다.
if($sort) $sort=preg_replace("/\s/",'',$sort);
if($rank_m_id) $rank_m_id=preg_replace("/\W/",'',$rank_m_id);
if($id) $id=preg_replace("/\s/",'',$id);
if($category) $category += 0;
if($modify) $modify += 0;
if($reply) $reply += 0;
if($delnum) $delnum += 0;
* 기타 :
자체적으로 스킨이나 빌더 제작 하실때에도 URL 에 어떤 변수를 실어 보내는 형식의
새로운 구문(원본 형식에는 없는)을 작성하셨다면, 해당 변수가 인젝션 공격 우려가 있는지
충분히 검토하시고 조금이라고 우려가 되는 변수라면 위와 같이 필터링을 해 주시기 바랍니다.
* 2011-01-07 변동사항
if($sort) $sort=preg_replace("/\W/",'',$sort); // 게시판 글목록 '무작위' 정렬 오류
if($id) $id=preg_replace("/\W/",'',$id); // 마이페이지에서 타 회원의 닉네임 검색 오류
를
if($sort) $sort=preg_replace("/\s/",'',$sort);
if($id) $id=preg_replace("/\s/",'',$id);
으로 변경.
* 패치대상 : TECHNOTE6 , TECHNOTE7
* 패치방법 :
1. technote/lib.php 파일에서 아래와 같은 부분을 찾습니다.
* TECHNOTE 6 버전은 148 ~ 158 번 라인입니다.
* TECHNOTE 7 버전은 186 ~ 197 번 라인입니다.
unset($Rconfig);
unset($Mconfig);
unset($Bconfig);
unset($you_Manager);
unset($you_Member);
$board=preg_replace("/\W/",'',$board);
$mboard=preg_replace("/\W/",'',$mboard);
$no=preg_replace("/\D/",'',$no);
2. 위 코드의 다음 라인에 아래 코드를 새로 추가합니다.
if($sort) $sort=preg_replace("/\s/",'',$sort);
if($rank_m_id) $rank_m_id=preg_replace("/\W/",'',$rank_m_id);
if($id) $id=preg_replace("/\s/",'',$id);
if($category) $category += 0;
if($modify) $modify += 0;
if($reply) $reply += 0;
if($delnum) $delnum += 0;
* 기타 :
자체적으로 스킨이나 빌더 제작 하실때에도 URL 에 어떤 변수를 실어 보내는 형식의
새로운 구문(원본 형식에는 없는)을 작성하셨다면, 해당 변수가 인젝션 공격 우려가 있는지
충분히 검토하시고 조금이라고 우려가 되는 변수라면 위와 같이 필터링을 해 주시기 바랍니다.
* 2011-01-07 변동사항
if($sort) $sort=preg_replace("/\W/",'',$sort); // 게시판 글목록 '무작위' 정렬 오류
if($id) $id=preg_replace("/\W/",'',$id); // 마이페이지에서 타 회원의 닉네임 검색 오류
를
if($sort) $sort=preg_replace("/\s/",'',$sort);
if($id) $id=preg_replace("/\s/",'',$id);
으로 변경.
청주산의
반갑습니다.
반갑습니다.