그누보드(gnuboard)는 PHP 언어로 쓰여진 국산 홈페이지용 전자게시판이다.
파일크기가 작고 설치과정이 빠르다는 이유로 국내 수 많은 홈페이지가 바로 그누보드를 사용하고 있다.
 
하지만 웹표준 준수가 잘 되어 있지 않고 DTD버전을 통해 보안 중이나 개발이나 관리가 활발하지 않아 자주 취약점을 노출하고 있다.
 
PHP기반의 그누보드에서 Blind SQL Injection 취약점을 발견하고 데일리시큐에 제보한 Suninatas팀 2theT0P 씨는 그누보드 4버전과 5버전 이하 모든 버전에서 취약점을 들어냈다고 밝혔다.
 
이는 CSRF를 통해 관리자 권한으로 DB 유출 등 피해를 입을 수 있는 잠재적인 보안위협이 존재할 수 있어 개인정보 유출등의 피해가 우려된다. 
 
데일리시큐에서는 이런 취약점을 이용해 간단하게 파이썬으로 코딩해서 DB를 통째로 가져오는 영상을 공개한다.

데일리시큐 장성협 기자 shjang@dailysecu.com