브라우저를 닫더라도 로그인이 계속 유지될 수 있습니다.로그인 유지 기능을 사용할 경우 다음 접속부터는 로그인을 하실 필요가 없습니다.단, 게임방, 학교 등 공공장소에서 이용 시 개인정보가 유출될 수 있으니 꼭 로그아웃을 해주세요. 회원 가입
제로보드4의 보안 취약점에 대한 정보와 패치 자료들을 공유하는 곳입니다. 제로보드4로 사이트를 운영하시는 분들의 많은 관심과 정보 공유 부탁드립니다. 보안 관련 내용이 아닌 경우 삭제될 수 있습니다.
제목에 스크립트나 아이프레임등을 계속 삽입하는데요
php캐슬도 깔아보고 디비 접근도 localhost만되게해보고 파일 패치도해보고 별짓 다해도 계속 들어오는데
미치겠습니다.
혹시 누가 방법 아시는분 계신가요? ㅠ
2010.04.05 01:25:28 *.109.150.201
캐슬이나 db 접근 제한 것은 것은 xss/csrf injection 공격과는 무관합니다.
이런거는 아무리 해봐야 전혀 방어를 할 수 없습니다.
write_ok.php에서 $f_subject 부분에서 $subject 함수의 태그를 싹 없애버리면 됩니다.
$f_subject=eregi_replace("([\_\-\./~@?=%&! ]+)","",strip_tags($subject));
![[레벨:1]](http://www.xpressengine.com/modules/point/icons/xe_v3/1.gif "포인트:320point (85%), 레벨:1/30"){kind=icon}
석이..![[레벨:6]](http://www.xpressengine.com/modules/point/icons/xe_v3/6.gif "포인트:4170point (79%), 레벨:6/30"){kind=icon}
아빠불당
캐슬이나 db 접근 제한 것은 것은 xss/csrf injection 공격과는 무관합니다.
이런거는 아무리 해봐야 전혀 방어를 할 수 없습니다.
write_ok.php에서 $f_subject 부분에서 $subject 함수의 태그를 싹 없애버리면 됩니다.
$f_subject=eregi_replace("([\_\-\./~@?=%&! ]+)","",strip_tags($subject));