발견한 분이 저랑 아는분인데..
취약점 발견했다면서 메신저로 이야기를 해주네요.
이거 보여주면서..
흠.. 이거도 추후에 패치가 나오는 건가요?>
댓글 11개
크게 걱정할 일은 아닌 것 같습니다.
[스팸 방지 우회 취약점에 대해서 “그누보드는 소스가 공개되어 있어서 세션이 어디에 저장되는지 알 수 있다. 그리고 스팸 방지 코드를 암호화하지 않고 세션에 저장하기 때문에 세션이 저장된 파일을 열면 스팸 방지 코드가 그대로 나와있어서 그누보드의 스팸 방지 코드를 우회할 수 있다”고 설명했다.]
세션을 찾아 읽을 수 있을 정도면 사실 해킹된 겁니다. 서버를 해킹해서 단순히 스팸 방지 우회만 하실려구요???
[글쓰기 30초 제한 우회 취약점에 대해서는 “글쓴 후 세션에 $_SESSION["ss_datetime"]에 시간을 지정하게 된다. 하지만 세션에 저장하기 때문에 간단히 로그아웃 후 로그인하면 30초 제한 없이 계속 글이나 댓글을 등록할 수 있다”며 “이를 악용하면 자동으로 회원가입후 게시판 주소 수집과 모든 게시글에 광고 댓글을 작성하는 로봇이 간단히 만들어질 수 있는 상황이다. 이미 존재하고 있을 것으로 예상한다”고 밝혔다.]
이건 맞는 말이지만 로그인과 로그아웃이 외부에서 접근시 순식간에 이루어지지는 않습니다. 또한 글쓰기를 방지하는 일보다 그 로그인 사용자가 누군지가 다 드러나는 일을 누가 할까요???
[스팸 방지 우회 취약점에 대해서 “그누보드는 소스가 공개되어 있어서 세션이 어디에 저장되는지 알 수 있다. 그리고 스팸 방지 코드를 암호화하지 않고 세션에 저장하기 때문에 세션이 저장된 파일을 열면 스팸 방지 코드가 그대로 나와있어서 그누보드의 스팸 방지 코드를 우회할 수 있다”고 설명했다.]
세션을 찾아 읽을 수 있을 정도면 사실 해킹된 겁니다. 서버를 해킹해서 단순히 스팸 방지 우회만 하실려구요???
[글쓰기 30초 제한 우회 취약점에 대해서는 “글쓴 후 세션에 $_SESSION["ss_datetime"]에 시간을 지정하게 된다. 하지만 세션에 저장하기 때문에 간단히 로그아웃 후 로그인하면 30초 제한 없이 계속 글이나 댓글을 등록할 수 있다”며 “이를 악용하면 자동으로 회원가입후 게시판 주소 수집과 모든 게시글에 광고 댓글을 작성하는 로봇이 간단히 만들어질 수 있는 상황이다. 이미 존재하고 있을 것으로 예상한다”고 밝혔다.]
이건 맞는 말이지만 로그인과 로그아웃이 외부에서 접근시 순식간에 이루어지지는 않습니다. 또한 글쓰기를 방지하는 일보다 그 로그인 사용자가 누군지가 다 드러나는 일을 누가 할까요???
게시글 목록
| 번호 | 제목 |
|---|---|
| 1717629 | |
| 1717626 | |
| 1717625 | |
| 1717621 | |
| 1717619 | |
| 1717611 | |
| 1717610 | |
| 1717609 | |
| 1717607 | |
| 1717601 | |
| 1717598 | |
| 1717591 | |
| 1717590 | |
| 1717583 | |
| 1717575 | |
| 1717572 | |
| 1717568 | |
| 1717566 | |
| 1717549 | |
| 1717545 | |
| 1717533 | |
| 1717512 | |
| 1717511 | |
| 1717508 | |
| 1717495 | |
| 1717479 | |
| 1717473 | |
| 1717470 | |
| 1717463 | |
| 1717452 |
댓글 작성
댓글을 작성하시려면 로그인이 필요합니다.
로그인하기