안녕하세요! 망보드 운영자입니다.

최근에 발생한 여러 보안 이슈 때문에 많은 보안업체에서 망보드에 대한 보안점검을 진행해 주셨습니다.

그동안 계속해서 여러 보안 업체들로부터 수많은 보안점검을 받아왔기 때문에 큰 문제는 발생하지 않았지만

패치스택(Patchstack)이란 해외 보안업체에서 망보드 게시물 등록시 관리자만 스크립트를 추가할 수 있는 기능을 문제 삼았습니다.

해당 기능은 관리자만 실행할 수 있는 기능이지만 워드프레스 설정파일(wp-config.php)에 

DISALLOW_UNFILTERED_HTML 속성값을 true로 설정했을 경우 관리자도 스크립트를 추가할 수 없도록 해야하는데

DISALLOW_UNFILTERED_HTML 속성값이 망보드에 적용되지 않아 관리자 기능을 제한할 수 없는게 문제가 되었습니다.

해당 보안문제는 멀티사이트 기능을 이용하여 관리자 기능을 대폭 제한한 상태의 사이트를 다른 사용자에게 

분양하는 형태로 운영되는 곳에서 취약점으로 악용될 수 있다고 해서 망보드 2.2.2 버전에서 바로 업데이트가 진행 되었습니다.

패치스택(Patchstack)에서 제시한 보안문제는 관리자만 실행을 할 수 있는 기능이기 때문에 큰 문제가 되지는 않았지만

보안이슈가 발생했기 때문에 워드프레스 플러그인 사이트에서 검색 노출이 제한된 상태로 약 10일에 걸쳐 

워드프레스에서 진행하는 보안 점검을 받게 되었습니다.

10일간 진행된 보안 점검 과정에서 보안 취약점이 발견되지는 않았지만 망보드가 많은 데이터를 디비에 저장하고 출력하는 형태의 

플러그인이기 때문에 워드프레스에서 한층 강화된 보안 기준을 요구했습니다.

워드프레스에서 요구한 보안 기준은 향후에 코드를 수정하는 과정에서 실수로 발생할 수 있을지 모르는 취약점에 대비하여 

중요도와 상관없이 데이터가 입력되는 모든 곳, 데이터/변수가 출력되는 모든 곳에 2중,3중으로 보안처리를 강화하는 것이었는데

요구하는 내용이 상당히 포괄적이면서 광범위했기 때문에 상당히 많은 보안코드가 추가되면서 

망보드를 구성하는 거의 모든 파일에 대한 수정작업이 진행되었습니다.

이번 망보드 2.2.3 버전 업데이트를 통해 추가된 보안코드가 1차적인 보안 검증기준을 통과하여 

다시 워드프레스 플러그인 사이트에서 망보드 검색이 가능하게 되었지만

약 2주에 걸쳐 추가적인 워드프레스 보안점검이 계속 진행될 예정이기 때문에 당분간은 업데이트가 

빠르게 진행될 수 있는 점 참고해 주시기 바랍니다.

감사합니다.

망보드 베이직 2.2.3 

* 보안 기능을 강화하기 위한 보안 코드(escape,prepare) 추가

* 망보드 호환성 향상을 위한 CSS 코드 수정

망보드 베이직 업데이트 방법

워드프레스 관리자 > MangBoard > 대시보드 > 페이지 우측 상단에 업데이트 버튼 클릭