댓글 쓰기 권한이 없습니다. 로그인 하시겠습니까?
2010.11.18 15:23
[그누보드관련] $_POST 는 이미 오염된(?) 변수다.
![[레벨:28]](http://www.adminplay.com/modules/point/icons/default/28.gif "포인트:73093point (49%), 레벨:28/30"){kind=icon}
댓글 0 조회 수 4203
추천 수 0
$wr_xx = $_POST['wr_xx'];
여기에서
$wr_xx 에 위험인자가 있다면
exit 하는 방법이 과연
정확한 차단장소냐 아니냐가 문제가 될것 같다.
http://kr.ahnlab.com/infoView.ahn?seq=7621&page_num=1&keyStr=&category=07
같은 말이지만
bbs/write_update.php 가 무용지물이 된다는데 문제가 있다.
g4 는 php_BB등 여러가지 오픈소스의
여기저기서 따온 소스들로 발전이 되고 있어서
뚫린다음에 막는 형국이 되고 있지만
근본적인 방법..
과연
write.php 에서 write_update 로 이어지는 곳에서
원격 글쓰기를 막아야 하냐라는
회의적인 생각.
[참고]$_POST 의 위험
http://ohjesus.kr/110
이경우
$clean_wr_xx = htmlspecialchars( $_POST['wr_xx'] );
이런식으로 html을 떨어내더라도
지금 비회원 글쓰기가 되어 있다면
BBS 디렉토리, login.php, password.php 등등 계속
원격 글쓰기가 시도되고 실지로 뚫리고 있다.
현재는 근본적인 방법이 없다.
html 글쓰기를 아예 막는다고 해도
회피하는 것이지 싸워서 막는 방법은 아니다.
//
절대 간과해서는 안될 이야기 같은데 퍼가지 말라니까 링크만 남깁니다.
http://community.365managed.com/?module=file&act=procFileDownload&file_srl=20385&sid=306b78043207cb25b6f57095a320765a
http://community.365managed.com/pdf_magazine
여기에도 좋은 글들이 있습니다.
일시 방편적이 아니라
$_POST에서 배열로 얻어오는 이방법을
버리는 그 어떤 방법이 필요할것 같은데.. 답답하군요.
누더기가 된 기분.
여기에서
$wr_xx 에 위험인자가 있다면
exit 하는 방법이 과연
정확한 차단장소냐 아니냐가 문제가 될것 같다.
http://kr.ahnlab.com/infoView.ahn?seq=7621&page_num=1&keyStr=&category=07
같은 말이지만
bbs/write_update.php 가 무용지물이 된다는데 문제가 있다.
g4 는 php_BB등 여러가지 오픈소스의
여기저기서 따온 소스들로 발전이 되고 있어서
뚫린다음에 막는 형국이 되고 있지만
근본적인 방법..
과연
write.php 에서 write_update 로 이어지는 곳에서
원격 글쓰기를 막아야 하냐라는
회의적인 생각.
[참고]$_POST 의 위험
http://ohjesus.kr/110
이경우
$clean_wr_xx = htmlspecialchars( $_POST['wr_xx'] );
이런식으로 html을 떨어내더라도
지금 비회원 글쓰기가 되어 있다면
BBS 디렉토리, login.php, password.php 등등 계속
원격 글쓰기가 시도되고 실지로 뚫리고 있다.
현재는 근본적인 방법이 없다.
html 글쓰기를 아예 막는다고 해도
회피하는 것이지 싸워서 막는 방법은 아니다.
//
절대 간과해서는 안될 이야기 같은데 퍼가지 말라니까 링크만 남깁니다.
http://community.365managed.com/?module=file&act=procFileDownload&file_srl=20385&sid=306b78043207cb25b6f57095a320765a
http://community.365managed.com/pdf_magazine
여기에도 좋은 글들이 있습니다.
일시 방편적이 아니라
$_POST에서 배열로 얻어오는 이방법을
버리는 그 어떤 방법이 필요할것 같은데.. 답답하군요.
누더기가 된 기분.
●?Who's ADMINPLAY
일요일은 짜빠게뤼~ 먹는날~^^
| 번호 | 제목 | 글쓴이 | 날짜 | 조회 수 |
|---|---|---|---|---|
| 86 | Portsentry 1.1 설치하기 | | 2012.01.16 | 3639 |
| » | [그누보드관련] $_POST 는 이미 오염된(?) 변수다... | | 2010.11.18 | 4203 |
| 84 |
iptables와 mod_security 연동을 통한 ip 차단
 |
| 2010.09.15 | 5382 |
| 83 |
Modsecurity 무료 웹방화벽 설치
|
| 2010.09.12 | 5654 |
| 82 | Modsecurity-apache 2.5.X 설치중 에러 server: /us... | | 2010.09.12 | 6070 |
| 81 |
Modsecurity-apache 2.5.12
|
| 2010.09.12 | 4894 |
| 80 | modsecurity-2.5 configure: *** apr library not... | | 2010.09.12 | 6038 |
| 79 | iptables를 이용한 SSH brute force 공격방어 | ![[레벨:14]](http://www.adminplay.com/modules/point/icons/default/14.gif "포인트:18556point (35%), 레벨:14/30"){kind=icon}   | 2010.05.29 | 5210 |
| 78 | PHP 보안관련 설정 권고사항 | | 2010.05.19 | 5581 |
| 77 | php 수호신 설치 | | 2010.05.03 | 5892 |
| 76 | denyhosts (ssh, ftp 등의 접근 차단) | | 2010.05.03 | 5545 |
| 75 | 웹어플리케이션 보안 | | 2010.05.03 | 4163 |
| 74 | php.ini 보안 설정 | | 2010.05.03 | 5704 |
| 73 | 해킹 당했는지 알아보는 방법 | | 2010.05.03 | 5432 |
| 72 | [적용] iptables 접속 차단 스크립트 | | 2010.05.03 | 5927 |
| 71 |
보안 체킹 프로그램 - portsentry
|
| 2010.04.27 | 3661 |
| 70 | /etc/passwd 구조 | | 2010.03.31 | 11495 |
| 69 | 매직키를 이용한 응급복구법 | | 2010.03.31 | 11138 |
| 68 | 리눅스 보안 - 권한설정에 주의해야할 명령어들은 ? | | 2010.03.31 | 9924 |
| 67 | 안티 루트킷 사용 예 | | 2010.03.28 | 4564 |
![[레벨:6]](http://www.adminplay.com/modules/point/icons/default/6.gif "포인트:3535point (25%), 레벨:6/30"){kind=icon}
뉴보이![[레벨:1]](http://www.adminplay.com/modules/point/icons/default/1.gif "포인트:105point (5%), 레벨:1/30"){kind=icon}
폭염![[레벨:11]](http://www.adminplay.com/modules/point/icons/default/11.gif "포인트:12678point (86%), 레벨:11/30"){kind=icon}
베르세르크![[레벨:0]](http://www.adminplay.com/modules/point/icons/default/0.gif "포인트:3point (3%), 레벨:0/30"){kind=icon}
good_speed