'cross site scripting'에 해당되는 글 9건

  1. 2012.03.02 국내 공개 웹게시판(익스프레스엔진) XSS 취약점 보안 업데이트
  2. 2012.02.10 국내 공개 웹 게시판(익스프레스엔진) 보안 업데이트
  3. 2011.02.08 OWASP Top 10 2010 시연 동영상
2012.03.02 18:34

국내 공개 웹게시판(익스프레스엔진) XSS 취약점 보안 업데이트

2012.03.02 18:34 in 프로그램 (C,PHP)

개요

  • 국내 PHP기반의 공개 웹 게시판인 익스프레스엔진에서 XSS 취약점이 발견됨 [1]

  • 취약한 버전을 사용하고 있을 경우, 악의적인 스크립트를 이용하여 관리자 권한탈취, 피싱사이트 유도, 악성코드 경유지/유포지 사이트 유도 등의 피해를 입을 수 있으므로 웹 관리자의 적극적인 조치 필요

해당 시스템

  • 영향 받는 소프트웨어[1]
    - 익스프레스 엔진1.5.1.8(1.4.5.10포함) 및 이전 버전

해결방안

  • 기존 익스프레스 엔진 사용자는 업데이트가 적용된 상위 버전으로 업그레이드 [2]

     패치 작업 이전에 반드시 Database 및 원본 소스코드파일은 백업 필요

  • 익스프레스 엔진을 새로 설치하는 이용자

    - 반드시 보안패치가 적용된 최신버전(1.5.1.10)을 설치

용어 정리

  • PHP : 동적인 웹사이트를 구현을 위해 개발된 서버 측 스크립트 언어

  • XSS (Cross Site Scripting) : 공격자가 스크립트 언어를 악용하여, 웹페이지에 접근하는 사용자가 악의적인 스크립트를 실행하게 하는 취약점

  • 익스프레스엔진 : PHP언어로 작성된 홈페이지용 게시판 소프트웨어 또는 프레임 워크

기타 문의사항

  • 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

[참고사이트]
[1] http://www.xpressengine.com/blog/textyle/20570022
[2] http://www.xpressengine.com/index.php?mid=download&category_srl=18322907&parent_srl=18322917

저작자표시

Posted by 날으는물고기
Tag cross site scripting, hi.pe.kr, php, XpressEngine, XSS, 물고기, 보안업데이트, 보안패치, 웹게시판, 익스프레스엔진, 제로보드, 취약점, 프로그램
Trackback 0 Comment 0
2012.02.10 20:09

국내 공개 웹 게시판(익스프레스엔진) 보안 업데이트

2012.02.10 20:09 in 프로그램 (C,PHP)

□ 개요
  o 국내 PHP기반의 공개 웹 게시판인 익스프레스엔진에서 Cross Site Scripting 취약점이 발견됨
  o 취약한 버전을 사용하고 있을 경우, 홈페이지 해킹에 의한 관리자 계정 탈취 등의 피해를
     입을 수 있으므로 웹 관리자의 적극적인 조치 필요

□ 해당시스템
  o 영향받는 소프트웨어
     - 익스프레스 엔진 1.5.1.5 및 이전 버전

□ 해결방안
  o 기존 익스프레스 엔진 사용자는 업데이트가 적용된 상위 버전으로 업그레이드 [1]
    ※ 패치 작업 이전에 원본 파일은 백업 필요
  o 익스프레스 엔진을 새로 설치하는 이용자
     - 반드시 보안패치가 적용된 최신버전(1.5.1.6 이상)을 설치

□ 용어 정리
  o PHP : 동적인 웹사이트를 위한 서버 측 스크립트 언어
  o XSS (Cross Site Scripting) : 웹사이트 관리자가 아닌 이가 웹페이지에 클라이언트 사이드
     스크립트를 삽입하여 다른 사용자가 이를 실행하게끔 허용하는 취약점
  o 익스프레스엔진 : PHP언어로 작성된 홈페이지용 게시판 소프트웨어 또는 프레임 워크

□ 기타 문의사항
  o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

[참고사이트]
[1] http://www.xpressengine.com/index.php?mid=download&category_srl=18322907&parent_srl=18322917&package_srl=18325662

저작자표시

Posted by 날으는물고기
Tag cross site scripting, hi.pe.kr, php, XpressEngine, XSS, 공개프로그램, 물고기, 보안업데이트, 웹게시판, 익스프레스엔진, 취약점, 프로그램
Trackback 0 Comment 0
2011.02.08 19:50

OWASP Top 10 2010 시연 동영상

2011.02.08 19:50 in 모의해킹 (WAPT)
OWASP Top 10 2010: A1 - Injection
OWASP Top 10 2010: A2 - Cross Site Scripting
OWASP Top 10 2010: A3 - Broken Authentication and Session Management
OWASP Top 10 2010: A4 - Insecure Direct Object References
OWASP Top 10 2010: A5 - Cross-Site Request Forgery (CSRF)
OWASP Top 10 2010: A6 - Security Misconfiguration
OWASP Top 10 2010: A7 - Insecure Cryptographic Storage
OWASP Top 10 2010: A8 - Failure to Restrict URL Access
OWASP Top 10 2010: A9 - Insufficient Transport Layer Protection
OWASP Top 10 2010: A10 - Unvalidated Redirects and Forwards


만든이: ConvisoITSecurity
저작자표시

Posted by 날으는물고기
Tag 2010, Broken Authentication and Session Management, cross site scripting, Cross-site request forgery, CSRF, Failure to Restrict URL Access, hi.pe.kr, injection, Insecure Cryptographic Storage, Insecure Direct Object References, Insufficient Transport Layer Protection, OWASP, Security Misconfiguration, top 10, Unvalidated Redirects and Forwards, XSS, 모의해킹, 물고기
Trackback 0 Comment 0
prev Prev 1 2 3 Next next