Home | Data Center | Contact US | Login

Á¦¸ñ ±¹³» °ø°³ À¥ °Ô½ÃÆÇ(Á¦·Îº¸µå) º¸¾È ¾÷µ¥ÀÌÆ® ±Ç°í
ÀÛ¼ºÀÏ 2010-02-22 10:08:02
¡à °³¿ä
 o ÃÖ±Ù ±¹³» PHP ±â¹ÝÀÇ °ø°³ À¥ °Ô½ÃÆÇ Á¦·Îº¸µå4¿¡ ´ëÇÑ CSRF °ü·Ã º¸¾È Ãë¾àÁ¡ÀÌ ¹ß°ßµÊ[3]
    ¡Ø Á¦·Îº¸µå(ZeroBoard): PHP ¾ð¾î·Î ÀÛ¼ºµÈ ȨÆäÀÌÁö¿ë °Ô½ÃÆÇ ¼ÒÇÁÆ®¿þ¾î ¶Ç´Â ÇÁ·¹ÀÓ¿öÅ©
    ¡Ø CSRF(Cross-Site Request Forgery) Ãë¾àÁ¡ : Á¤»óÀûÀÎ ¼­ºñ½º »ç¿ëÀÚÀÇ ±ÇÇÑÀ» ¸ô·¡ ÀÌ¿ëÇÏ¿©
        ½ºÅ©¸³Æ®¸¦ ½ÇÇàÇÒ ¼ö ÀÖ´Â Ãë¾àÁ¡À¸·Î °ü¸®ÀÚ ±ÇÇÑÀ¸·Î ¾ÇÀÇÀûÀÎ ¸ñÀûÀÇ ½ºÅ©¸³Æ®°¡ ½ÇÇàµÉ ¼ö
        ÀÖ´Â Ãë¾àÁ¡
 o ÇØ´ç Ãë¾àÁ¡À» ÀÌ¿ëÇÑ È¨ÆäÀÌÁö º¯Á¶ ¹× ¿ø°Ý ½ÇÇà À§ÇùÀÌ ¹ß»ýÇÔ¿¡ µû¶ó, »ç¿ëÀÚÀÇ ÁÖÀÇ ¹× Á¶¼ÓÇÑ
    ÆÐÄ¡°¡ ÇÊ¿äÇÔ

¡à ¿µÇâ
 o ¿ø°ÝÀÇ »ç¿ëÀÚ°¡ Á¦·Îº¸µå4 °ü¸®ÀÚ ±ÇÇÑÀ» ȹµæÇÒ ¼ö ÀÖÀ½
 o ȹµæÇÑ °ü¸®ÀÚ ±ÇÇÑÀ» ÀÌ¿ëÇÏ¿© ½Ã½ºÅÛ ³»ÀÇ ÀÓÀÇÀÇ ÆÄÀÏ Àбâ, PHP ¸í·É½ÇÇà µîÀÌ °¡´ÉÇϸç,
    À̸¦ ÀÌ¿ëÇÑ À¥ º¯Á¶, ¿ø°Ý ½ÇÇà µîÀÌ ¹ß»ýÇÒ ¼ö ÀÖÀ½
    ¡Ø PHP : µ¿ÀûÀÎ À¥»çÀÌÆ®¸¦ À§ÇÑ ¼­¹ö Ãø ½ºÅ©¸³Æ® ¾ð¾î

¡à ¿µÇâ ¹Þ´Â ½Ã½ºÅÛ
 o Á¦·Îº¸µå4 ¸ðµç ¹öÀü

¡à ¼³¸í
 o ¿ø°ÝÀÇ »ç¿ëÀÚ°¡ ½Ã½ºÅÛ ³»ÀÇ ÀÓÀÇÀÇ ÆÄÀÏÀ» Àаųª, ÀÓÀÇÀÇ php Äڵ带 ½ÇÇàÇÏ´Â °ÍÀÌ °¡´ÉÇÏ¿© 
    À̸¦ ÅëÇÑ À¥ º¯Á¶ µîÀÇ ÇØÅ·ÀÌ ¹ß»ý

¡à ÇØ°á¹æ¾È

 o Á¦·Îº¸µå4¸¦ óÀ½ »ç¿ëÇÏ´Â °æ¿ì
   - °ø½Ä»çÀÌÆ®(www.zeroboard.com)¿¡´Â Ãë¾àÁ¡ÀÌ º¸¿ÏµÈ admin_exec_member.php ¼³Ä¡ 
      ÆÄÀÏ[1]À» ´Ù¿î·Îµå ¹Þ¾Æ ¼³Ä¡
 o Á¦·Îº¸µå4¸¦ »ç¿ëÁßÀÎ °æ¿ì
   - admin_exec_member.php ÆÄÀÏÀÇ 106¹ø° ÁÙ¿¡ ´ÙÀ½ ¾Æ·¡¿Í °°ÀÌ Ãß°¡ 


¡à ÀÌ¿ëÀÚ ÁÖÀÇ»çÇ×
 o 09³â 9¿ù 25ÀϺÎÅÍ Á¦·Îº¸µå4´Â ±¸Á¶ÀûÀÎ ÇÑ°è·Î ÀÎÇÑ º¸¾È Ãë¾àÁ¡ ¹®Á¦·Î °ø½ÄÀûÀÎ ¹èÆ÷¸¦ ÁßÁöÇÔ
 o Á¦·Îº¸µå4ÀÇ °ø½ÄÀûÀÎ ¹èÆ÷´Â ÁßÁöµÇ¾úÀ¸³ª ½Å±ÔÃë¾àÁ¡ÀÇ ÇÇÇظ¦ ¸·°í Á¤º¸¸¦ °øÀ¯Çϱâ À§ÇØ °ø½Ä
    Ä¿¹Â´ÏƼ´Â °è¼Ó ¿î¿µµÉ ¿¹Á¤
 o µû¶ó¼­ ÀÌ¿ëÀÚµéÀº Á¦·Îº¸µå4ÀÇ °ø½Ä Ä¿¹Â´ÏƼ[2] »çÀÌÆ®ÀÇ º¸¾È Á¤º¸ °øÀ¯ °Ô½ÃÆÇ[1]À» 
    ÁÖ±âÀûÀ¸·Î È®ÀÎÇÏ¿© ½Å±Ô Ãë¾àÁ¡¿¡ ´ëÇÑ Á¤º¸¸¦ ¼÷ÁöÇÏ°í ÀÌ¿¡ µû¸¥ Á¶Ä¡¸¦ ÃëÇؾßÇÔ
 o ȤÀº, Áö¼ÓÀûÀÎ º¸¾ÈÆÐÄ¡ Á¦°ø ¼­ºñ½º°¡ °¡´ÉÇÑ È¨ÆäÀÌÁö °Ô½ÃÆÇÀ¸·Î ¾÷±×·¹À̵带 ±Ç°í

¡à ±âŸ ¹®ÀÇ»çÇ×
 o Á¦·Îº¸µå4´Â ´õ ÀÌ»ó »ç¿ëÇÒ ¼ö ¾ø´Â °Ç°¡¿ä?
   - ¾Æ´Õ´Ï´Ù. »ç¿ëÇÏ½Ç ¼ö ÀÖ½À´Ï´Ù. ±×·¯³ª Á¦Àۻ翡¼­ ´õ ÀÌ»ó °ø½ÄÀûÀÎ º¸¾È ÆÐÄ¡¸¦ Á¦°øÇÏÁö ¾Ê±â
     ¶§¹®¿¡ ½Å±Ô Ãë¾àÁ¡À¸·Î ÀÎÇÑ ÇÇÇظ¦ ÀÔÀ¸½Ç ¼ö ÀÖÀ¸¹Ç·Î ÀÌ¿ëÀÚ ÁÖÀÇ»çÇ×À» ¼÷ÁöÇÏ½Ã±æ ¹Ù¶ø´Ï´Ù.
 o Á¦·Îº¸µå4ÀÇ °ø½Ä Ä¿¹Â´ÏƼ´Â °è¼Ó ¿î¿µµÇ³ª¿ä?
   - ³× ¿î¿µµË´Ï´Ù. Á¦·Îº¸µå4 °ø½Ä Ä¿¹Â´ÏƼ »çÀÌÆ®[2]´Â Á¦·Îº¸µå4ÀÇ Ãë¾àÁ¡ Á¤º¸ ¹× ±âŸ Á¤º¸ 
     °øÀ¯¸¦ ¸ñÀûÀ¸·Î °è¼Ó ¿î¿µÀÌ µË´Ï´Ù.

[Âü°í»çÀÌÆ®]
[1]  http://www.xpressengine.com/zb4_security
[2] http://www.xpressengine.com/zb4_main
[3] http://www.xpressengine.com/18695228
  MS VBScript ¿ø°ÝÄÚµå½ÇÇà Ãë¾àÁ¡ º¸¾È°øÁö
  Adobe Acrobat/Reader/Flash Player º¸¾È ¾÷µ¥ÀÌÆ® ±Ç°í






ȸ»ç¼Ò°³ °³ÀÎÁ¤º¸Ãë±Þ¹æħ ÀÌ¿ë¾à°ü À̸ÞÀÏÁÖ¼Ò ¹«´Ü¼öÁý°ÅºÎ CONTACT US IDC ¾àµµ
ȸ»ç¼Ò°³ °³ÀÎÁ¤º¸Ãë±Þ¹æħ ÀÌ¿ë¾à°ü À̸ÞÀÏÁÖ¼Ò ¹«´Ü¼öÁý°ÅºÎ CONTACT US IDC ¾àµµ ȸ»ç¼Ò°³ °³ÀÎÁ¤º¸Ãë±Þ¹æħ ÀÌ¿ë¾à°ü À̸ÞÀÏÁÖ¼Ò ¹«´Ü¼öÁý°ÅºÎ CONTACT US IDC ¾àµµ