새로운 댓글
zeroboard 검색 결과, 3
Zeroboard Download SQL Injection
요번에 제로보드의 DOwnload.php가 SQL injection 에 취약함을 발표했으며 그에 따른 보안패치를 올렸습니다. 여기에 대해 잠깐 언급해보겠습니다... http://target/bbs/download.php?id=notice&page=1&sn1=&divpage=1&sn=off&ss=on&sc=on &select_arrange=headnum&desc=asc&no=5&filenum=1=100/* ... 구문은 자기가 필요한 구문을 적절히 넣으면 된다.. update zetyx_board_notice set download1=100/*=download1=100/*+1 where no='5'\ Download.php 변경사항 mysql_query("update $t_board"."_$id set d..웹 관리자를 위한 응급처치법-HTML 태그를 이용한 침입과 대응
김훈 l 호스트웨이코리아 방화벽, IPS, IDS 등의 성능이 우수해지고 시스템의 접근 권한이 강화되자 공격자들은 이제 보안이 허술한 웹으로 눈을 돌리기 시작했다. 웹 취약점을 이용한 해킹이 지속적으로 증가하는 것도 이 때문이다. 따라서 이번호에는 최근 이슈가 된 해킹 방식인 iframe을 이용한 관리자 권한 취득에 대해 알아보고 그에 대응할 수 있는 방법을 살펴 보도록 한다. 최근 웹 공격의 화두는 SQL Injection이나 Cross Site Scripting(XSS)이었다. 그러나 얼마 전 잠시 이슈가 되었던 OO보드 취약점은 iframe을 통해 정상적인 관리자의 권한을 이용하는 공격이었다. 이는 iframe이나 IMG html tag를 게시판이나 혹은 제목에 쓸 수 있도록 한 것이 그 원인으로 ..