DearMai's blog

관리자 메일 발송 코드에서 $s_que 변수를 이용한 SQL Injection을 일으킬 수 있는 코드가 발견되어 패치합니다. 첨부된 admin_sendmail_ok.zip 파일의 압축을 풀면 나오는 admin_sendmail_ok.php파일을 사용하시는 제로보드4의 디렉토리에 덮어쓰시면 됩니다. 수정된 부분은 다음과 같습니다. = admin_sendmail_ok.php =============================================================== @@ -28,16 +28,18 @@ if(!$true) $true = 0; if(!$nomailing) $nomailing = 0; if(!$sendnum) $sendnum = 100; + $group_no = (int)$gr..

일전 download.php의 sql injection 문제에 대해 패치를 하면서 띄워쓰기를 잘못하여 다운로드 동작이 정상적으로 되지 않던 문제가 발생하였습니다. 많은 분들이 통보를 해주셨는데 제가 미처 확인하지 못하고 있다가 이제야 수정된 파일을 올립니다. 너무 죄송합니다. 그리고 zboard.php, _head.php, member_memo3.php 파일에서 $s_que변수가 별도의 초기화 없이 사용되어 역시 SQL injection 보안 버그가 있음을 알려주셔서 lib.php 에서 $s_que변수를 초기화하도록 수정하였습니다. 첨부된 20070509.patch.zip 파일의 압축을 풀면 download.php, lib.php 2개의 파일이 나오는데 이를 기존 사용하시던 제로보드에 덮어써주시면 됩니다..

오늘(07-23 일요일)이면 zb5 베타 버전이 공개 됩니다. 2001년 2월 5일 제로보드4 베타 pl1 버전이 처음 공개된 후 5년 만에 새로운 버전이 발표되네요. 물론 이번에도 베타 버전으로 첫 공개 이지만요. 지금껏 zb5는 개발자이신 zero 형과 디자이너이신 styx님 그리고 NZEO.com 사이트내 운영진들만 만져볼수 있고,제로보드 사용자들은 zb5 의 스크린샷 만 봐왔지만(뭐 일부 유저들은 스크린샷에 공개된 개발 주소로 들어가서 미리 체험 해본사람도..) 몇시간후면 이제 모든 사람들이 zb5 를 만나 볼 수 있게 됩니다. 현재 zb5 베타 버전 배포를 위한 베타 사이트는 개발되어 있고 NZEO.com 운영진들에게 공개되어 있습니다. zb5 의 기본 레이아웃, 모듈, 플러그인 등을 사용하여 ..

About zb5 - #1 관리자 페이지 구성 7월 8일 NZEO.com 공지사항에 zb5의 스크린샷의 공개로 그동안 NZEO.com 운영진들 사이에서 내부 테스트 되어오던 zb5가 일반 회원들에게 zb5의 모습이 공개되었다. 물론 직접 건드려 볼 수 없는 스크린샷으로 공개되었지만 그 스크린샷 안에 테스트 url 이 공개되어버려서 몇 시간동안 일반 회원 몇몇분들이 zb5 테스트 서버에 접속 하여 이것저것 만지고 안부인사를 남기는 모습까지 (......;;) 그래도 급하게 zb5 테스트 서버 url 이 변경되었다.(그래서 귀찮게.. 즐겨찾기 주소를 수정했다. ㅅㅂㄹㅁ ㅠㅠㅠ) NZEO.com 공지사항에 zb5의 모습이 공개되었지만 그 자그만한 스크린샷 만 가지고선 속터져(응?) 하실 분들이 많으신 것 같아..

제로보드, 5년만에 확 달라진다‘한국 웹의 산증인’이라고 해도 과언이 아닐 정도로 웹 게시판 문화를 이끌어온 설치형 인터넷 게시판 ‘제로보드’가 네 번째 버전 이후 5년 만에 다섯 번째 버전으로 다시 태어난다. 제로보드 개발자 고영수(ID 제로)씨는 최근 홈페이지(http://www.nzeo.com)의 ‘제로보드 5 개발 안내입니다’라는 공지사항을 통해 차세대 제로보드의 개발이 완성단계에 이른 상태라고 밝혔다. 그는 “작년 말부터 시작했는데 스스로도 개념이 잡히지 않아서 벌써 5달이 넘었다”며 “현재 제로보드5는 90% 정도 개발되어 있다”고 밝혔다. 그는 “위지윅 편집기, 계층형 댓글, 회원간 쪽지 기능, 사이트 통계기능 등 중요도에서 10% 이상을 차지하는 부분에 대한 막바지 개발에 박차를 가하고 있..

이전글보기 >> 제로보드 5는 더이상 제로보드가 아니다. #1 3. Ajax 기술의 도입으로 더욱 빨라진 웹 페이지 최근 빠른 페이지 로딩과 유동적인 웹 페이지 모습을 구현 하는 장점등의 이유로 Ajax 가 사용되는 홈페이지가 많다. 이번 제로보드 5 에서도 이 기술이 도입되어 사용되고 있다. 현재 까지 공개된 곳에서는 게시판 모듈에서 로그인, 로그아웃, 트랙백, 코멘트 리스트 등과 관리자 모드 에서 각 설정 저장 및 페이지 설정 에서 모듈 및 플러그인 추가 및 삭제 부분(Google 에서 개인화된 페이지와 비슷) 부분에 적용 되어 있다. 실제 사용해본 경험담으로는 대체로 Ajax의 도입이 편리함이 느껴졌지만 관리자 모드에서 몇몇 군대에서는 이전 페이지로 돌아갈 때 웹 브라우져의 "뒤로가기" 같은 기능을..

5월 12일 오후 7시 NZEO.com 홈페이지에 제로보드 5 개발 안내 공지가 올라왔다. 이미 내부 적으로는 zero님의 제로보드 5 개발 공지와 현재 운영진들 사이에서 내부 테스트 중이다. 공지에서 밝힌데로 현재 제로보드 5는 90% 가량 개발되었으며, 남은 부분은 자잘한 기능 추가와 불편 사항및 버그 수정, 그리고 디자인을 입히는 과정이 남아있다. 현재 내부 테스트 중인 제로보드 5는 디자인이 하나도 입혀지지 않아서 그냥 텍스트와 표로 이루어진 레이아웃에 뼈만 앙상하다 -ㄴ-;; 이번 제로보드 버전 1 부터 4까지 게시판을 기본으로한 추가 회원관리 기능과 쪽지 기능등이 포함되어 있던 게시판 솔루션 모습(1, 2는 안써봤지만 아마 비슷할꺼라 생각;)인 제로보드 이라면, 이제 나오게될 제로보드 5는 N..

너무 오랫동안 이 안내가 미뤄진 거 같아서 죄송할 뿐입니다. 현재 제로보드5는 90% 정도 개발되어 있습니다. 작년 말부터 시작했는데 스스로도 개념이 잡히지 않아서 벌써 5달이 넘어가네요. 기존 제로보드4 가 게시판+회원관리라면 제로보드5는 완전한 사이트 빌더의 개념입니다. 메뉴를 tree구조로 편성을 하고 레이아웃을 선택하면 사이트가 완성이 됩니다. 각 메뉴별로 모듈(게시판..)을 지정할 수도 있고 관리자 페이지에서 html 페이지를 제작하여 지정할 수도 있습니다. 트랙백 or 고유링크 등이 기본으로 되며 이것 저것 요즘 추세에 맞게 개발되고 있습니다. 템플릿 엔진은 스마티( http://smarty.php.net )을 이용하며, FF에서 개발을 하여 html 표준을 정확히 지키고 있습니다. 그 동안 ..

기존 제로보드 4.1 pl7에서 보안버그를 수정하였습니다. 수정된 버그 내용은 다음과 같습니다. - 이미지 파일 업로드 하는 부분에서 확장자(gif/jpg)를 무시하고 임의의 스크립트 파일을 올릴 수 있던 버그 수정 - sql injection 취약성 제거 - XSS(크로스 사이트 스크립팅) 취약성 제거 입니다. [다운로드 받기] ps. 관련 내용을 알려주신 한국정보보호진흥원(KISA) 해킹대응팀의 김영직님에게 감사의 말씀을 드립니다.

제로보드 4.1 pl7 버전 에서 IFRAME 태그를 이용한 XSS 보안 버그가 발견되어 패치 파일을 발표 하였습니다. 패치 받으러 가기 >> http://www.nzeo.com/bbs/zboard.php?id=cgi_download2&no=51 제로보드 4.1 pl7 버전에서 회원들간 메모 기능에서 IFRAME 을 통해서 공격자가 제로보드 관리자 세션을 획득해서 제로보드 관리자 기능을 이용 할 수 있는 버그입니다. 해당 버그 및 패치 파일은 InetCop Security 의 유동훈(x82) 님께서 보내 주셨습니다.