ZeroBoard PHP Mass Sql-Injection(download.php)

시큐리티 플러스의 방립동님이 올려주신 블로그 내용입니다.tp://www.securityplu
http://www.securityplus.or.kr/xe/?document_srl=17273&vid=bangrip1

위 블로그 내용에서 상세한 내용을 다뤘기 때문에 참고하시면 될것 같습니다.

제가 추출한 패턴은 다음과 같습니다.

alert tcp any any -> any 80 (msg:”Zeroboard PHP Mass Sql-Injection(download.php)”; flow:established, to_server; uricontent:”/download.php”; nocase; pcre:”/\/download\.php\?id=.*&filenum=(1|2)=.*,memo=concat\(/si"; )

테스트과정을 거쳐 변경사항이 생기면 변경하겠습니다.

더욱 좋은 방법은 download.php 파일 수정하는 방법입니다.

참고 : http://www.xpressengine.com/zb4_security/18448449

기존
mysql_query(“update $t_board”.”_$id set download”.$filenum.”=download”.$filenum.”+1 where no=’$no’”);

변경
if($filenum == 1)
    mysql_query(“UPDATE “.$t_board.”_”.$id.” SET download1 = download1+1 WHERE no=’”.$no.”‘”);
elseif($filenum == 2)
    mysql_query(“UPDATE “.$t_board.”_”.$id.” SET download2 = download2+1 WHERE no=’”.$no.”‘”);