공개게시판 관련           2015/12/08 17:33:09     1394     0   
   제로보드4 보안패치 모음
제로보드4 보안패치 모음



1. 기본적으로 회원가입후 글쓰기 가능하도록 설정
2. 회원가입시 캡챠소스 적용하여 봇이 회원가입 못하도록 설정
3. 모든 게시판은 비회원 글쓰기 방지 설정
4. 보안패치된 제로보드4 업로드후 덮어쓰기

5. 개별적인 수동 보안패치 적용

  1) 제로보드 보안패치 2009년 9월 22일자

    1. 대상 파일
      1. _head.php
      2. skin/zero_vote/ask_password.php
      3. skin/zero_vote/error.php
      4. skin/zero_vote/login.php
      5. skin/zero_vote/setup.php

    2. 수정 내용
      1. _head.php
        [수정전]
        if(eregi("://",$_zb_path)||eregi("..",$_zb_path)) $_zb_path ="./"; 
        [수정후]
        if(eregi("://",$_zb_path)||eregi("..",$_zb_path)||eregi("^/",$_zb_path)||eregi("data:;",$_zb_path)) $_zb_path ="./";

      2. skin/zero_vote/ 파일들(가급적 해당스킨 삭제 권고)
        [수정전]
        if(eregi("://",$dir)||eregi("..",$dir)) $dir ="./";
        [수정후]
        if(eregi("://",$dir)||eregi("..",$dir)||eregi("^/",$dir)||eregi("data:;",$dir)) $dir ="./";



 
  2) 제로보드4에 대한 CSRF 관련 보안 취약점 패치 2010년 2월 19일자

    1. [제로보드설치경로]/admin/admin_exec_member.php 
    admin_exec_member.php 파일의 106번째 줄에 다음 아래와 같이 추가 

    if($_SERVER['REQUEST_METHOD']!='POST') die("비정상적인 접근이라 차단됩니다");



  3) 제로보드4 XSS/CSRF 관련 보안 취약점 패치

    include/list_check.php 파일의 116, 117 번에서 $file_name1, $file_name2 변수에 값을 대입할 때, del_html() 함수를 사용한다.

      [수정전] 
      116 라인  $file_name1=$data[s_file_name1];
      117 라인  $file_name2=$data[s_file_name2];

      [수정후]
      116 라인  $file_name1=del_html($data[s_file_name1]);
      117 라인  $file_name2=del_html($data[s_file_name2]);

  4) 제로보드4 write_ok.php 에서 .htaccess 파일 업로드를 통한 보안버그 패치


    === write_ok.php ===

    211 라인
    if(substr($s_file_name1,0,1)=='.'||eregi(".inc",$s_file_name1)||eregi(".phtm",$s_file_name1)||eregi(".htm",$s_file_name1)||eregi(".shtm",$s_file_name1)||eregi(".ztx",$s_file_name1)||eregi(".php",$s_file_name1)||eregi(".dot",$s_file_name1)||eregi(".asp",$s_file_name1)||eregi(".cgi",$s_file_name1)||eregi(".pl",$s_file_name1)) Error("Html, PHP 관련파일은 업로드할수 없습니다");

    252 라인
    if(substr($s_file_name2,0,1)=='.'||eregi(".inc",$s_file_name2)||eregi(".pht",$s_file_name2)||eregi(".htm",$s_file_name2)||eregi(".shtml",$s_file_name2)||eregi(".ztx",$s_file_name2)||eregi(".php",$s_file_name2)||eregi(".dot",$s_file_name1)||eregi(".asp",$s_file_name2)||eregi(".cgi",$s_file_name2)||eregi(".pl",$s_file_name2)) Error("Html, PHP 관련파일은 업로드할수 없습니다");



보다 자세한 내용은 고객센터 질문/답변게시판 또는 전화문의 주시면 상세히 서포트해 드리도록 하겠습니다.
감사합니다. 
writer ip : 61.34.198.26    

       

공개게시판 관련 제로보드4 보안패치 모음
도메인 관련 네이버 블로그에 도메인 연결하기
도메인 관련 도메인 명의 변경 신청서
도메인 관련 서브도메인(2차도메인) 셋팅방법
도메인 관련 www 붙은거나 않붙은거나 동일하게 접속유도하기
도메인 관련 다중도메인 셋팅방법
1