| PHP | PHP 8.1 |
|---|---|
| CMS | Rhymix 2.0 |
보안상 문제가 있을가요?
라이믹스와 호환되게끔만 해서
여러 오류들 싹다 고쳐서 쓰고있는데
아무래도 13년전 자료다보니 보안문제가 있지는 않을까 걱정이 됩니다.
https://xe1.xpressengine.com/index.php?mid=download&package_id=18324191
https://xe1.xpressengine.com/index.php?mid=download&package_id=18334938
https://dpnw.site/pointqna
https://dpnw.site/resources
코어에서 제공하는 함수 이외 임의로 쿼리를 한다던가 하는 이상한 개조를 하신게 아닌이상 신경쓰실필요 없습니다. 이중 이스케이프도 보기에 안좋거나 오동작 가능성이 생길뿐 보안과 무관합니다.
라이믹스에 맞추면서 코드를 바꾸셨을때 escape 으로 해당 값들을 PHP에서 받을때 잘 처리해주신다면 출력하실때 xss관련 보안취약점을 해결하실 수 잇거든요..
https://github.com/rhymix/rhymix/blob/master/modules/document/document.controller.php#L882
https://github.com/rhymix/rhymix/blob/master/modules/document/document.controller.php#L483
이런식으로 사용하는 방식인데, input으로 입력해서 받아오는 form 요청에서 타이틀 혹은 html 이 적용되면 안되는 항목들에서 이렇게 선언해주시면 되긴해요.
윗분 말씀대로 이중이스케이프가 문제가 될 수 있을 요인은 되겠지만, 11년전 자료에서 그냥 요청하는 자료들도 많은 상황이라 한번 이 케이스를 쓰지 않는지 채크해볼 필요는 있어서 댓글을 달긴했습니다.
지식인 기준으로 https://github.com/xpressengine/xe-module-kin/blob/master/kin.controller.php#L26 이런쪽에 만약 javascript실행 코드를 넣게되면 xss 보안이슈 당첨되는거거든요..
escape에 두번째 인수에 false만 잘 넣어준다면 이중으로 이스케이프는 안할거예요. 이미 이스케이프된 항목이라면 넘어가게 됩니다.
2중으로 escape 하는 경우를 방지하기 위해 escape($변수명, false); 으로 잘 보내주시면 됩니다.
해당 갑들을 불러오는 과정이나 입력하는 과정에서 escape 만 잘해주면 xss 보안취약점정도는 거뜬할거예요