GR Board 2 Developer Forum

[버그알림] 패치 수정 부탁드립니다 ^^

Hidden
  • 2011.11.03 17:52:39
  • hit: 419
  • good: 0
이동규 site 2011.11.04 00:29:12 reply
추가/적용하였습니다. ^^
감사합니다~ 
이동규 site 2011.11.04 00:32:12 reply
여쭤볼것이 있는데요~
include_board.php 에도 동일하게 적용해야하나요? ^^;;
(include.php는 일반 최근게시물용, include_board.php는 게시판을 노프레임으로 적용할때 사용.) 
stealth 2011.11.04 10:59:27 reply
네~ 제가 확인하고 말씀드리려 했었는데~ 먼저 질문을 하셨군요~ ^^
include_board.php에는 $grboard를 이용하여 include 하기 전에 if(!is_dir($path)) 이런식으로 확인하는 부분이 있어서 기본적인 LFI나 RFI로는 공격이 안됩니다. 하지만 나중에 이 부분을 우회할 방법을 고안해낸 해커가 공격을 할 수 있기 때문에 미리 이 부분도 패치하는게 좋을거라는 생각이 듭니다.  include.php 처럼
if ($_GET['grboard'] || $_POST['grboard']||$_COOKIE['grboard']||$_OPTION['grboard']||$_HEAD['grboard']||$_TRACE['grboard']) {
    unset($_GET['grboard']);
    unset($_POST['grboard']);
    unset($_COOKIE['grboard']);
    unset($_OPTION['grboard']);
    unset($_HEAD['grboard']);
    unset($_TRACE['grboard']);
    unset($grboard);               
}
 이 방어 코드를 추가하는게 좋을 거 같습니다 ^^

무엇보다 기존 grboard를 사용하는데 이상이 생기면 안되니 테스트 후 추가하는 것을 추천합니다 ㅎ

ps. $grboard는 서버내에 grboard의 디렉터리를 담고 있기 때문에 바로 패치해도 영향이 없을거 같습니다 ㅎ

modified at 2011.11.04 11:01:43 by stealth
modified at 2011.11.04 11:07:14 by stealth
이동규 site 2011.11.04 12:56:46 reply
답변 감사합니다.^^
시리니 site 2011.11.08 00:08:33 reply
아... 너무 뒤늦게 확인했습니다. 알려주셔서 정말 고맙습니다! 빠른 조취를 취해주신 동규님께도 감사드립니다!!!