뽐뿌 해킹 건에 관련하여 그누보드에 궁금증이 있습니다.
웹호스팅 받아 그누보드5로 작은 홈페이지를 운영하고 있는 나름 운영잡니다ㅎ
이번 뽐뿌에서 sql injection으로 털렸다는 소식을 듣고
여기저기서 관련 글 읽던 중 sql injection은 아주 초보적인 해킹이고 요즘은 통하지 않는다고 그러더라구요.
php 프레임워크들에는 모두 적용되어 안전하단 글도 본 적도 있구요.
관련 글입니다.
다른 글이지만 xe는 sql injection은 불가능에 가깝다고 이야기합니다.
https://www.xpressengine.com/forum/23077911
그누보드의 경우 최근까지도 sql injection 관련 패치가 이뤄지고 있어서요.
패치나올 때마다 감사히 여기며 그때 그때 해주고 있습니다만
sql injection 패치가 꾸준히 이뤄지는 것을 보면 그누보드에 관련 허점이 아직 있을거라 추측되는데요..
아주 조심스레 질문드려 봅니다^^
현재의 기본 그누보드는 보안이 어느정도 탁월한지, 털릴 가능성이 있는지 궁금합니다.
댓글 7개
그누보드 플러그인을 출시하면서 이번에 처음 그누보드5를 써보았습니다. 소스코드를 보니 그누보드는 XE에 비해 SQL 공격에 취약합니다. 보안대책이 되어 있기는 하지만 실수로 한 군데 빠트린 곳이 있다면 위험에 노출될 수 있습니다. common.php에 방어 코드가 있기 때문에 반드시 저 파일을 먼저 불러와야 하는데 놓친 부분이 있을 수도 있습니다. 사용자가 제작한 스킨, 테마 등에 위험요소가 있을지도 모릅니다. SQL 공격 차단 기능이 있는 방화벽과 함께 운영하는 것이 좋아 보입니다.
그누보드 자체는 워낙 오랫동안 산전수전 다 겪으면서 튼튼해졌기 때문에
업데이트만 잘 하면 별 문제가 없습니다.
그러나 스킨이나, 사용자가 막 뜯어고친 부분에서 많이 공격을 당하죠.
이것 때문에 업데이트조차 못 하면 그야말로 엎친 데 덮친 격이고요.
XE는 사용자가 임의의 쿼리를 직접 날릴 수 없고 반드시 XML로 쿼리를 미리 선언하도록 되어 있어서
그 방식을 따르면 안전하긴 한데, 그 대신 개발하기가 상당히 귀찮습니다.
프레임워크에 모두 적용되어 안전하다는 말은
CodeIgniter, Laravel 등의 프레임워크를 사용할 때의 얘기죠.
일반 CMS는 각자 하기 나름입니다.
업데이트만 잘 하면 별 문제가 없습니다.
그러나 스킨이나, 사용자가 막 뜯어고친 부분에서 많이 공격을 당하죠.
이것 때문에 업데이트조차 못 하면 그야말로 엎친 데 덮친 격이고요.
XE는 사용자가 임의의 쿼리를 직접 날릴 수 없고 반드시 XML로 쿼리를 미리 선언하도록 되어 있어서
그 방식을 따르면 안전하긴 한데, 그 대신 개발하기가 상당히 귀찮습니다.
프레임워크에 모두 적용되어 안전하다는 말은
CodeIgniter, Laravel 등의 프레임워크를 사용할 때의 얘기죠.
일반 CMS는 각자 하기 나름입니다.
게시글 목록
| 번호 | 제목 |
|---|---|
| 1717252 | |
| 1717247 | |
| 1717243 | |
| 1717237 | |
| 1717225 | |
| 1717214 | |
| 1717208 | |
| 1717203 | |
| 1717189 | |
| 1717183 | |
| 1717177 | |
| 1717172 | |
| 1717163 | |
| 1717162 | |
| 1717156 | |
| 1717154 | |
| 1717153 | |
| 1717141 | |
| 1717140 | |
| 1717138 | |
| 1717113 | |
| 1717111 | |
| 1717105 | |
| 1717099 | |
| 1717085 | |
| 1717076 | |
| 1717072 | |
| 1717065 | |
| 1717062 | |
| 1717050 |
댓글 작성
댓글을 작성하시려면 로그인이 필요합니다.
로그인하기