안녕하세요.
제가 그누보드를 설치하고 관리자 모드를 하려는데 계속해서
"정상적으로 로그인하여 접근하시기 바랍니다."라는 메시지가 나와서 문제를 분석하던 중
net client 라는 보안 툴로 인하여 문제가 발생하는 것을 찾았습니다.
로그인할 때와 페이지를 변경할 때 $_SERVER['HTTP_USER_AGENT'] 값이 Net Client 로 인하여 달라집니다.
이로인해 XSS공격을 체크하기 위한 hash 값이 달라지고 XSS공격으로 오인을 합니다.
그래서 admin/admin.lib.php 파일을 아래와 같이 수정하였습니다.
Net Client에 의해서 추가되는 부분을 제거해서 해쉬값을 생성합니다.
간단하게는 XSS 체크 부분을 코멘트 처리해도 되지만 이러면 보안성에 문제가 생기니 수정하는 것이 좋을 것 같습니다.
---------------------------------------------------------------------
// 관리자의 아이피, 브라우저와 다르다면 세션을 끊고 관리자에게 메일을 보낸다.
// $admin_key = md5($member['mb_datetime'] . $_SERVER['REMOTE_ADDR'] . $_SERVER['HTTP_USER_AGENT']);
$admin_key = md5($member['mb_datetime'] . $_SERVER['REMOTE_ADDR'] . preg_replace('/; ; NCLIENT50\S*\)/',')',$_SERVER['HTTP_USER_AGENT']));
제가 그누보드를 설치하고 관리자 모드를 하려는데 계속해서
"정상적으로 로그인하여 접근하시기 바랍니다."라는 메시지가 나와서 문제를 분석하던 중
net client 라는 보안 툴로 인하여 문제가 발생하는 것을 찾았습니다.
로그인할 때와 페이지를 변경할 때 $_SERVER['HTTP_USER_AGENT'] 값이 Net Client 로 인하여 달라집니다.
이로인해 XSS공격을 체크하기 위한 hash 값이 달라지고 XSS공격으로 오인을 합니다.
그래서 admin/admin.lib.php 파일을 아래와 같이 수정하였습니다.
Net Client에 의해서 추가되는 부분을 제거해서 해쉬값을 생성합니다.
간단하게는 XSS 체크 부분을 코멘트 처리해도 되지만 이러면 보안성에 문제가 생기니 수정하는 것이 좋을 것 같습니다.
---------------------------------------------------------------------
// 관리자의 아이피, 브라우저와 다르다면 세션을 끊고 관리자에게 메일을 보낸다.
// $admin_key = md5($member['mb_datetime'] . $_SERVER['REMOTE_ADDR'] . $_SERVER['HTTP_USER_AGENT']);
$admin_key = md5($member['mb_datetime'] . $_SERVER['REMOTE_ADDR'] . preg_replace('/; ; NCLIENT50\S*\)/',')',$_SERVER['HTTP_USER_AGENT']));
댓글 7개
게시글 목록
| 번호 | 제목 |
|---|---|
| 24149 | |
| 24140 | |
| 24133 | |
| 24125 | |
| 24119 | |
| 24109 | |
| 24105 | |
| 24101 | |
| 24093 | |
| 24089 | |
| 24077 | |
| 24074 | |
| 24071 | |
| 24070 | |
| 24067 | |
| 24056 | |
| 24050 | |
| 24046 | |
| 24043 | |
| 24040 | |
| 24037 | |
| 24036 | |
| 24035 | |
| 24034 | |
| 24021 | |
| 24017 | |
| 24005 | |
| 24002 | |
| 23990 | |
| 23980 |
댓글 작성
댓글을 작성하시려면 로그인이 필요합니다.
로그인하기