[APM]으로 만들어진 WebApplication

http://www.nzeo.com

국내에서 가장 많이 활용되는 웹어플리케이션 형태. 일단 공짜라 쓰기 좋지만, 상업용 목적을 위해서는 돈내야한다. 라이센스 문제가 없는 GnuBoard도 있다.


긴급버그소식 {{| 현재 제로보드가 문제가 있는 걸로 들었습니다. 저도 갑자기 회사일중에 msn으로 날라온 메시지에 놀라 제 사이트 패치하고서 이렇게 글을 씁니다. 아직 위험에 처한 사이트들이 많은 것 같은데... 제로보드를 보면, login.php 파일이 있습니다. 그곳 아래쪽에 보면 include $file 이라는 부분이있습니다. $file이라는 변수를 받아서 incldue를 하는 것입니다. 그러므로 $file변수를 임으로 넣어준다면 제로보드가 include를 시켜버리는 것입니다. 예를 들어서 login.php?group_no=1&file=/etc/passwd 라고 한다면 서버내의 파일까지 볼수가 있게 되는 것입니다. 이것은 공격을 하라고 알리는 것이 아니라 자신의 사이트를 막으라고 알리는 것입니다. 중요한 사항인거 같아서 알립니다....

패치는 login.php의 include 부분을

if($id) include $file;

이렇게 $id 변수가 있는지 확인을 하거나 $file변수를 체크하여 원천적으로 아예 막아 버리는 방법도 있습니다. 위의 id변수가 존재 하는지에 대해서 검사하는게 좋을 것 같습니다. |}}

여기의 파이썬스터디게시판, AjssOrKr도 마찬가지. 걍 다 보인다. 문제는 이걸... 이소식을 알기전까지는 아무도 몰랐다는것. 이런 구멍이 있었슴에도 아무일 없듯이 써오고 있다가 이제서야 서둘러 패치하는 모습이 사뭇 웃기기까지 하다.

지금 이순간에도 어디에고 뭔가 구멍은 있을꺼다. 맘먹고 찾아댕기면... 음... ComputerSecurity문제 역시 아는만큼보이는법인데..

제로보드 패치가 올라온걸 보니깐 문득 이런생각이 든다. MicroSoft제품들 버그많고 걸핏하면 패치올라오고 하는것들이 그만큼 쓰는 이들이 많아서 그런것이 아닌가하는... 요즘 왠만한 사이트들 다 웹보드로 제로보드쓴다. 많이들 쓰게 되다보니 알려지는것임.

--[yong27], 2003-03-10


기타 보안버그 레포트


CategoryProgram

ZeroBoard (last edited 2011-08-03 11:00:50 by localhost)

web biohackers.net