본문 바로가기

Javascript22

네이버 스마트에디터 파일업로드 취약점 주의 □ 개요 o NHN社의 오픈프로젝트로 제공중인 “SmartEditor2.0 Basic”에서 파일 업로드 취약점이 발견됨[1] o 공격자는 해당 취약점을 악용한 웹셸 업로드를 통해 웹페이지 변조, 개인정보 유출 등 피해를 유발할 수 있으므로, 웹 관리자의 주의가 요구됨 □ 해당 시스템 o 영향 받는 소프트웨어 - SmartEditor2.0 Basic (2.3.3) 및 이전버전 □ 권장방안 o 취약점에 의한 피해를 줄이기 위하여 웹서버 관리자에게 다음과 같은 사항을 권고함 - 파일 업로드 기능에 서버사이드에서 동작하는 확장자 검증 알고리즘 삽입 - 웹방화벽 운용 - 업로드 파일이 저장되는 디렉토리 실행 권한 제거 □ 용어 정리 o SmartEditor2.0 Basic : 네이버 오픈프로젝트로 제공하고 있는 .. 2013. 7. 9.
포털사 메일의 미리보기 기능, 보안 구멍? 메일 미리보기 ‘utf-7 XSS’ 취약점 발견...다음 측 “현재 조치 완료”불법사이트로 연결돼 악성코드 감염 가능...포털사 전체 점검 필요 [보안뉴스 김태형] 한 포털사이트가 제공하는 이메일의 미리보기 기능에 취약점이 발견됐다가 현재는 조치가 완료된 것으로 나타났다. 포털사이트 다음에서 제공하는 이메일의 미리보기 기능에서 악용될 수 있는 ‘utf-7 XSS(CVE-2008-0769)’ 취약점을 보안전문가이자 ISMS 심사원인 이원백 씨가 발견해 본지에 알려왔으며, 곧바로 다음 측에 통보돼 현재는 조치가 완료된 상태다. 이 취약점은 다음 메일의 기능중에 하나인 수신 시 ‘미리보기’를 할 때 javascript를 이용한 ‘utf-7 XSS’ 공격이 가능한 취약점이다. 이번 취약점을 발견한 이원백 씨는 .. 2013. 6. 10.
jQuery로 Ajax 개발을 단순화 하기 jQuery란 무엇인가? 2006년 초, John Resig가 만든 jQuery는 JavaScript 코드로 작업하는 사람들에게는 훌륭한 라이브러리이다. 여러분이 JavaScript 언어 초보자라서 라이브러리가 Document Object Model (DOM) 스크립팅과 Ajax의 복잡성을 다루어주기를 원하든지, 숙련된 JavaScript 구루로서 DOM 스크립팅과 Ajax의 반복성에 지루해졌다면, jQuery가 제격이다. jQuery는 코드를 단순하고 간결하게 유지한다. 많은 반복 루프와 DOM 스크립팅 라이브러리 호출을 작성할 필요가 없다. jQuery를 사용하면 매우 적은 문자로 표현할 수 있다. jQuery 철학은 매우 독특하다. 무엇이든 단순하고 재사용 가능한 것으로 유지하기 위해 디자인 되었다.. 2011. 3. 10.
(동영상) Discovered XSS on Facebook can lead to account hijack 출처 : http://www.acunetix.com/ 2010. 11. 9.
Twitter OnMouseOver Flaw In The Wild As of this morning we have been monitoring a flaw on twitter.com that delivers pop-ups to Twitter users when they move their mouse cursor over a specially crafted tweet. There is also the potential to deliver status updates when mousing over a tweet and altering the display of the Twitter status on user's profile pages. The affected tweets contain JavaScript that runs the OnMouseOver command (th.. 2010. 9. 24.
728x90