한줄광고 위젯과 모듈에 XSS 대응이 안되어있습니다.

 

전광판 위젯을 통해 스크립트를 실행이 가능하고

전광판 모듈 리스트를 통해서도 스크립트가 실행이 되더군요.

 

php를 잘 몰라서 그러는데 어디부분을 어떻게 치환을 하면 되는걸까요.

  • Lv30
    관리자계정이 아닌 비회원 또는 일반회원 계정으로도 가능한가요?
  • Lv30 ? Lv7
    네, 일반 계정으로 가능합니다.
  • ? Lv7 Lv30
    네. 그럼 어차피 회원들 이용이 거의 없으니 관리자만 등록 가능하게 전환해 놓아야겠네요. 나중에 고치게 되면 다시 풀더라도요..
  • Lv36

    라이믹스 기준으로...

     

    문제의 스킨에서 {$변수} 를 출력하는 부분을 찾아 {$변수|autoescape} 로 바꿔주시면 됩니다.

    중간에 들어가는 특수문자는 Shift+₩을 누르면 나오는 기호입니다.

     

    XE도 1.11 버전부터는 이 문법을 지원할 예정이라고 합니다.

    복잡한 함수 호출하는 것보다 훨씬 쉽게 XSS 방어를 할 수 있거든요.

     

    스킨 파일 전체에 일괄 적용하려면 공홈에 있는 XE 1.11 관련 공지글을 참고하세요.

  • Lv36 ? Lv7
    PHP에다 적는게 맞는거죠?
  • ? Lv7 Lv36
    XE 스킨은 대개 html 확장자로 되어 있죠...
  • Lv36 ? Lv7
    아 스킨단에서 해결해야하는거군요..