본문 바로가기

php65

728x90
PHP 5.2/5.3 unserialize() 보안버그 PHP 5.2/5.3 unserialize() 보안버그에 대한 분석 결과 공개 http://nibbles.tuxfamily.org/?p=1837#more-1837 5.2.13/5.3.2 까지 문제가 있다고 합니다. A patch was commited on PHP’s SVN a few days ago, but a new version has not been released yet. http://svn.php.net/viewvc?view=revision&revision=300843 2010. 7. 16.
Remote file include in appserv 2.4.5 ====================================================================== Remote file include in appserv 2.4.5 (possible in previous versions) ====================================================================== [ What is Appserv ] AppServ is the Apache/PHP/MySQL open source software installer packages. Objective : - Easy to buid Webserver and Database Server - For those who just beginning client.. 2010. 5. 14.
PHP 인젝션 기본구문 이해 1. 삽입 위치 확인 and 1=1 (정상, 이전 페이지와 동일) and 1-2 (오류가 아닌 이전 페이지와 같음) 2. union 쿼리 수행 여부 결정 and ord(mid(version(),1,1))>51 (4.0이상 가능, 3.0 51 이상) 3. order by 사용 스톰 필드 order by 숫자 (오류 5, 정상 4) 4. union 사용 정확한 필드 쿼리 and 1=2 union select 1,2,3,....... (정확한 숫자 추측) 5. 데이터베이스 쓰기권한 계정 확인 (root권한) and (select count(*) from mysql.user)>0 (오류는 관리자 계정 암호 추측에 사용) - load_file(char(파일경로ascii값 쉼표로 분리 또는 16진수 사용)) 기능으.. 2010. 5. 13.
국내 공개 웹 게시판(제로보드XE) 보안 업데이트 권고 □ 개요 o 최근 국내 PHP 기반의 공개 웹 게시판 제로보드 XE에 대한 XSS 및 CSRF 관련 보안 취약점이 발견됨[1]. o 해당 취약점을 이용한 홈페이지 변조 및 원격 실행 위협이 발생함에 따라, 사용자의 주의 및 조속한 패치가 필요함 □ 영향 o 원격의 사용자가 제로보드 XE 관리자 권한 획득가능 o 획득한 관리자 권한을 이용하여 시스템 내의 임의의 파일 읽기, PHP 명령실행 등이 가능하며, 이를 이용한 웹 변조, 원격 실행 등이 발생할 수 있음 □ 해당시스템 o 제로보드 XE 1.4.0.10 이하 버전 □ 해결방안 o 업데이트된 파일만 적용하는 경우, - 공식사이트(www.xpressengine.com)에 취약점이 패치된 xe.1.4.0.11.changed.tgz 를 다운로드 받아 압축을 .. 2010. 4. 19.
Additional notes in PHP source code auditing Today , I decide talk about some of my experience about methods of vulnerability discovery techniques through source code auditing . if you remember , around 1 years ago , i wrote This article : 20 ways to php Source code fuzzing (Auditing) some time ago “Stefan Esser” made The Poster on the PHP Security . I’m going to have a brief description about most them with my experience in PHP Source cod.. 2010. 3. 16.
728x90