http://==>https:// 교체하고나선 관리자접속하면 로그인이 자꾸풀려요 채택완료
http://==>https:// 교체하고나선 관리자접속하면 로그인이 자꾸풀려요
세션이 보드게시판에 수정삭제 이런건 문제없는데
adm/ 으로들어가면
"관리자 정상적으로 로그인하여 접근하시기 바랍니다"
라고 뜨면서 로그인이 풀립니다
다른 회원들게시판 수정삭제는 잘되는데요
adm/ 폴더 밑의 관리자 영역으로 나가면 로그인이 풀립니다
무엇이 문제인걸까요?
참고로 세션은 memcached를 이용하고 http:// 로사용할떈 아무문제없었고요
https://로 바꾸고나서 로그인은되도 관리자 adm/ 폴더밑의 관리자영역들어가면 세션이 풀립니다
답변 4개
g5버전이 뭔가요?
bbs/login_check.php
set_session('ss_mb_key'md5($mb['mb_datetime']~~ <==뒷부분
admin.lib.php
$admin_key = md5($member['mb_datetime']~~ <==뒷부분
두 화일의 뒷부분 코드가 같은지 비교해보세요
두 화일이 원본 화일이 아닌 것 같은데....
답변에 대한 댓글 3개
뒷부분이 같나요?
최신버젼은 아래와 같이 되어있습니다
md5($member['mb_datetime'] . get_real_client_ip() . $_SERVER['HTTP_USER_AGENT']);
댓글을 작성하려면 로그인이 필요합니다.
댓글을 작성하려면 로그인이 필요합니다.
답변에 대한 댓글 1개
댓글을 작성하려면 로그인이 필요합니다.
답변에 대한 댓글 5개
일단 임의적으로 adm/admin.lib.php 의 밑부분을 주석처리 하면
관리자에서 로그인 해제되지않고 문제없이 씁니다
그런데 그럼 보안이 취약하니깐요 ㅜㅜ
저같은경우
무엇이 문제인건가요?
============밑부분을 주석 처리하면 잘됨=========
// 관리자의 아이피, 브라우저와 다르다면 세션을 끊고 관리자에게 메일을 보낸다.
$admin_key = md5($member['mb_datetime'] . $_SERVER['REMOTE_ADDR'] . $_SERVER['HTTP_USER_AGENT']);
if (get_session('ss_mb_key') !== $admin_key) {
session_destroy();
include_once(G5_LIB_PATH.'/mailer.lib.php');
// 메일 알림
mailer($member['mb_nick'], $member['mb_email'], $member['mb_email'], 'XSS 공격 알림', $_SERVER['REMOTE_ADDR'].' 아이피로 XSS 공격이 있었습니다.\n\n관리자 권한을 탈취하려는 접근이므로 주의하시기 바랍니다.\n\n해당 아이피는 차단하시고 의심되는 게시물이 있는지 확인하시기 바랍니다.\n\n'.G5_URL, 0);
alert_close('정상적으로 로그인하여 접근하시기 바랍니다.');
}
세션이 풀리는건데~ 세션쪽만 707로 다시 권한 줘야되요
소유자권한도 같이 주고요
댓글을 작성하려면 로그인이 필요합니다.
답변을 작성하려면 로그인이 필요합니다.
로그인