이메일 유출 점검 취약점이 188개
글쓴이: 아주가끔은 / 작성시간: 금, 2008/01/25 - 7:53오후
제로보드를 쓰고있는 페이지를 관공서 서버에 옮기려고 하는데, "웹 취약점 분석"이라는 프로그램 돌려서 분석 자료에 취약점이 0이 되도록 만들어야 서버에 끼워주겠답니다. 어머 그래? 그런 편리한 프로그램도 있는거야? 하며, 분석해준 자료를 받았는데 265개의 웹 취약점이 발견되었다고 하길래 깜짝놀라 잘 살펴 봤습니다.
게시판에 글이 188개 인데, a href="mailto:webmaster@abc.com" 라는 부분이 취약점이라며 이게 188개 네요.
저는 도저히 취약점으로 보이지 않는데, 어떻게 해야 할지 고민입니다. >.<ㅋ
언제부터 mail to 링크가 웹 취약점이 되어버렸죠?
Forums:
전자우편주소를 긁어
전자우편주소를 긁어 갈수 있다는건가요?
후훔 보안 위협 같지는 않은데..
해당 email주소로 자동으로 쓰레기 메일을 대량으로 보내는 등의 방법에 쓰일 가능성 때문입니다.
참고
http://eda.ee.nctu.edu.tw/~zephlin/O%27Reilly/books/web/jscript/ch20_02.htm
-------------
Another attack, one that was undoubtedly exploited to some extent on the Internet, allowed a JavaScript program to automatically send email to any desired address whenever the user visited a web page. What this does, of course, is steal the email address of everyone who visits a page. This attack was accomplished by using the submit() method of the Form object to automatically submit an empty (and invisible) HTML form to a mailto: URL.
아래와 같이 자바
아래와 같이 자바 스크립트를 이용하는 방법도 있습니다.
<script type="javascript> function send_msg (user, addr, name) { var _nf; var _nb; _nf = name ? name + " <" : ''; _nb = name ? ">" : ''; location.href="mailto:" + _nf + user + "@" + addr + _nb; } </script>그리고 링크를
<a href="#" onclick="send_msg('admin', 'abc.com', '관리자');">과 같이 만들면 될 것 같군요. 제 홈페이지에서 사용하는 방법입니다. 그리고 그냥 이메일 표기는 @을 이미지로 만들어서 치환해서 사용하고 있습니다. (jsboard 에서 이렇게 구현이 되어 있습니다.)
정말 고맙습니다
정말 고맙습니다 ㅠ.ㅠ
제가 해야할 삽질이 하나 줄었습니다.
"관리자 메일주소... 수집좀 하게 놔두면 안되겠니?" 라고 떼좀쓸까 생각하기도 했습니다.
정말 이렇게 해야만 하는 현실이 참 우습기도 하고... ㅋㅋ
ㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡ
RME 9636/52, RomIO, ESP 1010, Triton pro, K2600x, JV-80, Yamaha O3D, Tascam DA-30MKII... etc
ㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡ
RME 9636/52, JV-80, Yamaha O3D, DA-30MKII, US-122MKII, Roland SC-55
http://blog.obbli.net
흠.. 저 있는 곳은
흠.. 저 있는 곳은 로컬, 내부네트웍, 외부 네트웍 총 3개의 체크툴을 돌립니다.
매주매주 결과 보고 처음 발견된 메시지는 조사해서 보고해야 하는데
엄청 귀찮아요. ㅠ.ㅜ