버전 5.3.7이고 kboard를 사용중인 게시판에서 테스트중입니다.
게시판에 글을 쓸 때 제목 부분에 태그 등 다양한 태그를 삽입할 수 있습니다.
예를 들어서 제목에 <a href="test.test.test">test</a> 를 작성하고 글을 쓰면
다음과 같이 제목을 클릭하게 되면 공격자가 원하는 페이지(http://test.test.test) 로 이동하게 됩니다.
CSRF 또는 피싱 사이트 등
게시판에서 글을 작성할 때 img src 태그를 이용해서 사진을 삽입하고 있습니다.
현재 사진을 첨부할 때 "KBoard 미디어 추가" 버튼을 이용해서 사진을 업로드 하게 되면
<img src="/uploads/1/x.jpg">와 같이 사진을 업로드할 수 있는데,
이 img src 부분에 어떠한 주소든 모두 입력할 수 있습니다.
예를 들어 <img src="http://test.test.test">