안녕하세요 k보드 사용 중입니다 커스텀 제작 스킨이용중이고요
k보드 사용하여 만든 사이트로 웹 취약점 점검을 하였는데,
점검사항 중 아래와 같은 항목이 발견되어 조치 하려고합니다
https://www.cloud.or.kr/company/registration/
위 링크 게시판에서 글작성 할 때
제 생각에는 get과 post 방식을 같이 쓰고있어 그런것같은데
혹시 get방식을 안쓸수있을까요?
관련해서 조언을 얻을수있는지 답변 부탁드립니다. 아래는 점검 내용 입니다
감사합니다
-----------------------------------------------------------------------------------
본문 매개변수가 조회에서 허용됨
URL: https://www.cloud.or.kr/company/registration/
엔티티: (Page)
위험: 사용자 이름, 비밀번호, 머신 이름 및/또는 민감한 파일 위치 등과 같이 웹 애플리케이션에 대한 민감한 정보를 모으는 것이 가능합 니다.
속기 쉬운 사용자를 설득해서 사용자 이름, 비밀번호, 신용카드 번호, 주민등록 번호와 같은 민감한 정보를 제공하도록 하는 것이 가능합니다.
원인: 안전하지 않은 웹 애플리케이션 프로그래밍 또는 환경 설정입니다.
수정사항: 조회 문자열로 전송되는 본문 매개변수를 허용하지 마십시오.
GET /company/registration/?uid=3657&mod=document&pageid=1&password= HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko
Referer: https://www.cloud.or.kr/company/registration/?uid=3657&mod=document&pageid=1
Cookie: PHPSESSID=so04e6h61cr7h7rqck6su61st4
Host: www.cloud.or.kr
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-US
Content-Type: application/x-www-form-urlencoded
안녕하세요~^^
주소에 password 매개변수를 사용하신 것 같습니다.
그런데 실제 KBoard 에서는 예제 주소에서 사용된 password 매개변수를 사용하는 변수 $_GET['password'] 를 사용하고 있지 않습니다.
주소에 password 매개변수가 있다고 해도 게시판에서는 읽거나 사용되지 않습니다.
고맙습니다.