XSS(Cross-site scripting) 취약점

교육사이버안전센터에서

Kboard 가 XSS(Cross-site scripting) 취약점이 발생한다고 연락이 왔습니다.

Kboard을 최신버전으로 업데이트 하면 XSS(Cross-site scripting) 취약점문제가 해결 되는지

아니면 추가 조치을 해야 되는 지 여쭈고 싶습니다.

좋은 프로그램을 만들어 주셔서 감사합니다.

워드프레스 에러 기술지원 서비스 전문가에게 맡기세요
좋은 정보와 인맥을 동시에, 워드프레스 사용자 단톡방 참여하기
  • 취약점은 버전이 올라갈수록 많은 부분들을 해결하고 있습니다.

    가급적 최신 버전을 사용해주세요.

    사용하시는 KBoard 버전은 몇 인 가요?

    또한 어떤 내용인지 구체적인 자료를 고객지원 쪽으로 보내주시면 KBoard를 개선하도록 하겠습니다.

  • 아래 페이지에 다시 적었습니다.

  • 변형 유효성 검사

    • Content-Type: text/html; charset=UTF-8

    • <meta property="og:url" content="bsc.dyu.ac.kr/community/3565-2/?mod=document&uid=425"/><script>alert(181)</script>"/>

     

    위 내용은 KBoard가 아닌 테마에서 출력된 내용입니다. (또는 다른 플러그인)

    테마 또는 다른 플러그인들을 변경하거나 확인해보세요.

     

    KBoard에서 출력된 내용이라면 아래의 내용에 포함되어 있을겁니다.

    <!-- WordPress KBoard plugin 4.9 - http://www.cosmosfarm.com/products/kboard -->

    ..중략..

    <!-- WordPress KBoard plugin 4.9 - http://www.cosmosfarm.com/products/kboard -->

     

    KBoard에서는 모든 값들을 위험요소가 없는지 체크 후 사용하게 됩니다.

    KBoard의 보안 문제는 확인되는 대로 지속적으로 업데이트하도록 하겠습니다.

    감사합니다.

  • 상세한 설명 감사합니다.

  • 'uid' 매개변수의 값에 주입 했다고 나와있습니다.

    위에도 말씀드렸지만, uid 매개변수 값에 숫자외 다른 문자를 포함시켜도 KBoard에서는 숫자외의 문자는 모두 제거됩니다.

    따라서 KBoard의 문제는 없으며

    아래 출력되는건 테마 또는 다른 플러그인에서 og:url 메타 태그를 출력하고 있는 상황입니다.

    <meta property="og:url" content="bsc.dyu.ac.kr/community/3565-2/?mod=document&uid=425"/><script>alert(181)</script>"/>

    테마에서 Open Graph 기능을 비활성화 해보세요.

    또는 테마의 header.php 파일에 해당 og:url 메타 태그가 있는지 확인해서 지우거나 urlencode() 함수를 사용해주세요.

     

    uid 매개변수에 값을 주입하는게 문제가 아니다 라는 증거로

    아래와 같은 페이지에 접속하면

    http://bsc.dyu.ac.kr/community/3565-2/123/345345test

    아래처럼 og:url 메타 태그에 주소창에 입력된 값이 그대로 똑같이 출력되는게 원인입니다.

    <meta property="og:url" content="bsc.dyu.ac.kr/community/3565-2/123/345345test"/>

좋은 정보와 인맥을 동시에, 워드프레스 사용자 단톡방 참여하기