일반2010.01.09 08:48

저도 오랜동안 사용했던 레볼루션 스킨에 대한 보안 분제 글입니다.

----------------------

레볼루션 스킨만 사용하신다면,

제로보드루트의 comment_ok.php 를 삭제하시면 됩니다.

삭제하시지 않으셨다면, 레볼루션과는 연관관계가 없다고 보시면 되겠고요.

 

또한, 제로보드의 카피라이터도 의미가 없어진 마당에

zboard.php view.php를 포함해서,

모든 파일들의 이름을 자신만의 다른명칭으로 변경해주는 것이

zb4버젼의 보안에서 첫번째라 생각합니다.

특히나, comment_ok.php는 reply_ok.php등으로 변경해 주거나,

레볼루션 스킨이라면 완전 삭제해 버려도 좋구요.

download.php의 경우도 down.php 혹은 downfile.php 등으로 변경해주는 것이 좋겠지요.
물론 여기저기 연결된 소스들에서 수술할때는 많습니다.

저의 경우엔 DB에서조차 zetyx를 모두 다른 이름으로 돌려버렸습니다. 참고하시고요~

 

=> 다른 대안으로의 의견들

http://bugsboard.co.kr/

http://www.casternet.com/spamfree/

 

=> 윈도우즈 설치본

 http://ncafe.kr/notice.html

 

=> 추가 : 제로보드 보안문제

현재까지 나온 제로보드 4.1pl9 포함한 모든 버전에 보안 취약점이 발견되었습니다.
관리자 권한을 획득할 수 있으므로.. 이 글을 보고 계신 분들은 바로 패치를 하시길 바랍니다.

제로보드폴더안 lib.php를 열어..
소스안 맨끝에.. ?> 위에 아래소스를 추가합니다.

function zb_sxs($src)
{
 $message = trim($src);
 $message = str_replace("<","\n<",$message);
 $message = str_replace(">",">\n",$message);
 $array_m = explode ("\n",$message);
 $message = "";
 
 foreach ($array_m as $val)
 {
  if (preg_match("/</",$val))
  {
   $val = preg_replace('/admin_setup\.php/i', '403', $val);
  }
  $message .=$val;
 }
 return $message;
}


그다음... 제로보드폴더안 write_ok.php를 열어..
// 원본글을 가져옴 부분을 찾아 그 다음줄에 아래소스를 추가합니다.

$memo = zb_sxs($memo);

그다음.. 제로보드폴더안 include/list_check.php를 열어..
$memo=$data[memo]; 찾아 다음줄에 아래소스를 추가합니다.

$memo=zb_sxs($data[memo]);

신고
Posted by soosun