한줄광고 위젯과 모듈에 XSS 대응이 안되어있습니다.
전광판 위젯을 통해 스크립트를 실행이 가능하고
전광판 모듈 리스트를 통해서도 스크립트가 실행이 되더군요.
php를 잘 몰라서 그러는데 어디부분을 어떻게 치환을 하면 되는걸까요.
-
관리자계정이 아닌 비회원 또는 일반회원 계정으로도 가능한가요? -
?
네, 일반 계정으로 가능합니다.
-
?
네. 그럼 어차피 회원들 이용이 거의 없으니 관리자만 등록 가능하게 전환해 놓아야겠네요. 나중에 고치게 되면 다시 풀더라도요..
-
라이믹스 기준으로...
문제의 스킨에서 {$변수} 를 출력하는 부분을 찾아 {$변수|autoescape} 로 바꿔주시면 됩니다.
중간에 들어가는 특수문자는 Shift+₩을 누르면 나오는 기호입니다.
XE도 1.11 버전부터는 이 문법을 지원할 예정이라고 합니다.
복잡한 함수 호출하는 것보다 훨씬 쉽게 XSS 방어를 할 수 있거든요.
스킨 파일 전체에 일괄 적용하려면 공홈에 있는 XE 1.11 관련 공지글을 참고하세요.
-
?
PHP에다 적는게 맞는거죠?
-
?
XE 스킨은 대개 html 확장자로 되어 있죠...
-
?
아 스킨단에서 해결해야하는거군요..