[패치] 이노보드 SQL Injection 취약점에 노출 안녕하세요. 이노(inno)입니다. 2004년 6월 7일자 업데이트 내역입니다. 이노보드가 SQL Injection 취약점에 노출에 되어있음을 저번주에서야 알았습니다. ㅡㅡ;; 이럴수가.. ㅡㅡ;; 이것저것 알아보니 SQL Injection 취약점은 몇년전에 알려진 취약점이더군요.. 그런데 저는 그것도 모르고.. 흑흑.. 누구나 이 취약점을 알면 관리자로도 로그인이 가능한.... ㅡㅡ;; 이럴수가... 쩝...... 얼른 패치 하시기 바랍니다. 이노보드를 사용중이신 모든 분들은... 어서 패치를 하십시요.. 간단히 알려드리겠습니다. login_ok.asp .. 즉, 로그인을 처리하는 부분에... login 페이지에서 아이디 값을 받아오는 부분에서... 아이디를 검색하여, 아이디에 '(작은 따옴표) 이 있으면... 작은 따옴표를 두개로 표시를 하거나 해서 취약점을 피해가는 방법입니다. login_ok.asp 파일에.. 아래와 같은 소스를 추가하시기 바랍니다. <script LANGUAGE="VBScript" RUNAT="Server"> Function CheckWord(CheckValue) CheckValue = replace(CheckValue, "'", "''") CheckWord=CheckValue End Function </script> 라고 추가시키시구... join_id = Request("join_id") 라고 아이디를 받아오는 부분을... join_id = CheckWord(Request("join_id")) 이렇게 수정을 하시면 됩니다... 이노야닷컴에서 배포중인 이노보드 2.0 소스는 수정해서 올려놨습니다. member 폴더에.. login_ok.asp 파일과 login_ok_pro.asp 파일만 다를뿐.. 다른 파일은 모두 동일합니다. 2004년 06월 07일 (19:12) 윗글 | 아랫글 332, 6 / 17 no title date visit 3261 이노(inno)는 P.K 프로젝트 진행중입니다. 2004-06-10 1439 3260 새로운 핸드폰을 제공 받은 이노(inno) 2004-06-08 1412 -- [패치] 이노보드 SQL Injection 취약점에 노출 2004-06-07 1523 3258 이노(inno) 핸드폰 안됩니다.. ㅡㅡ;; 2004-06-05 1182 3257 H.A 프로젝트 완료 2004-06-04 1237 3256 이노보드에 관한 질문은 MSN 메신져로 받지 않습니다. 2004-06-04 1208 3255 이노(inno)는 H.A 프로젝트를 진행중입니다. 2004-05-27 1457 3254 이노보드 2.0 패치 안내 2004-03-23 2308 3253 inno.cc 도메인으로 접속 가능합니다. 2004-03-13 1420 3252 이노보드 2.0 간단한 팁 하나 공개~ 2004-03-10 2178 3251 이노보드 2.0 의 유용한 팁(선택글 및 회원리스트 보기) 2004-03-10 1673 3250 digital diary 디자인 변경 2004-03-08 1531 3249 이노(inno)에게 메일 보낼때 주의해야할 점~ 2004-03-03 1233 3248 이노보드2.0을 이용한 일정관리 프로그램 공개 2004-02-19 1631 3247 디지털 카메라 매뉴얼이 업데이트 되었습니다. 2004-02-10 1708 3246 이노야닷컴 이용 단축키 안내 2004-02-01 1403 3245 이노보드 3.0 버젼 개발 착수~~ 2004-01-08 2163 3244 새해 복 많이 받으세요. 2003-12-31 1594 3243 <b>이노(inno)가 태어난지 8000일 되는 날입니다.</b> 2003-12-22 1479 3242 [긴급패치] 이노보드 2.0 패치 12월 17일자!!! 2003-12-17 1908 「이전10페이지」 1 .  2 .  3 .  4 .  5 .  6 .  7 .  8 .  9 .  10 「다음10페이지」 「끝페이지」 제목 닉네임 내용