[배추빌더5] 배추빌더 파일을 통한 크로스 사이트 스크립팅 공격?  

도메인/theme/miwit/skin/latest/mw5/style.php?bo_table='%22/%3E%3C/script%3E%3Cscript%3Ealert()%3C/script%3E&rows=6&subject_len=50

를 통한 크로스 사이트 공격이 가능하다고 서버제공업체 모니터링 보안 안내 메세지가 나타납니다.
GET유형으로 표시되구요...

안전한지 모르겠네요

예하면 서버에 여러 계정을 설치후 이용중, A사이트를 통한 B사이트 공격 가능하다는말인거 같거든요.

확인 부탁드립니다.

도메인/?.tmp='%22+onmouseover=alert()+d='%22
이런거도 있네요.
 
 
질문자가 자신의 포인트 10 점을 걸었습니다.
답변하시면 포인트 5을, 답변이 채택되면 포인트 107점 (채택 7 + 추가 100) 을 드립니다.

곱슬최씨 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 7개월전 7개월전
안녕하세요.
'크로스 사이트 공격' 구글에 검색해보시면 ' 웹사이트 관리자가 아닌 이가 웹 페이지에 악성 스크립트를 삽입할 수 있는 취약점이다'. 라고 나와 있는데요.
말씀해주신 파일은 css 파일이라 스크립트가 작동하지 않는 영역이라 공격이 작동하지 않습니다.
     
     
 
 
오늘과내일 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 7개월전 7개월전
[@곱슬최씨] 네 그렇군요. 해당 파일을 보면 확장자가 .php파일로 되여 있더라구요.
그누보드에 다른 style파일을 보면 .css로 되여있잖아요.
몰라서 그러는데요. 이거 정상인거 맞나요?
          
          
 
 
신비 쪽지보내기 메일보내기 홈페이지 자기소개 아이디로 검색 전체게시물 7개월전 7개월전
[@오늘과내일] php 코드 사용한 디자인을 위해 일부러 php로 만들어두신 것 같네요.
     
     
 
 
오늘과내일 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 7개월전 7개월전
[@곱슬최씨] 중국 알리바바에서 운영하는 업체의 가상서버에 엔진엑스 설치해서 사용중이거든요.
제공하는 서버 보안모니터링에 중국어로 [跨站攻擊]로 표시되더라구요.
구글번역을 이용해보니 [크로스 사이트 공격] 이네요...
모바일 버전으로 보기