포럼

  2. Support
  3. 포럼

SRL 변조, 결점이긴 하지만 보안상 결점은 아닙니다.

2014.03.30 20:07

銀童

일단 게시판에서 시끄럽길래 document_srl 에 관련되서만 확인해보았습니다. 

다른문제는 :) 말씀해주시면 확인해볼게요


procBoardInsertDocument 를 통해서 들어온 데이터는 

이미 존재하는 글(수정)인지 아닌지(신규 작성)을 document_srl 로 판단합니다. 


예를들어서 document_srl 을 변조해서 이미 있는 글을 수정할려고 시도한다면, 그 글의 권한을 가지고 있는지 체크하기때문에 글의 수정은 되지 않구요. 글이 없을경우에는 글 작성 루틴으로 들어가서


$obj->document_srl 이 없으면 다음 sequence srl 을 받아오게 되구요, 

그렇지 않은경우에는 그 srl 을 그대로 사용하게 됩니다. 


manual_insert 되는 상황을 고려한 작동 패턴으로 보이는데 물론 문제는 있습니다.


primary key 가 사이에 삽입되게되면 innodb 등은 분명 io 적인 문제도 있을테고

논리적인 오류가 발생할수도있지요. 


그렇지만 보안상 결점이라던가 하는 문제는 아닙니다 :)


이 게시물을
좋아요
목록
글쓴이 제목 최종 글
도라미 다올 CMS 1.0.0.2 베타3 배포 (XE 1.5 보안패치) 긴급 !! [19] 2014.04.02 by 업글
자대련 코어 업데이트 후 회원가입 이름이 숫자(번호)로 뜨는 현상 수정  
국가정보보안 웹서버 트래픽 시각화 [1] 2014.04.01 by Luatic™
우리아기 호스팅에서 많이 쓰는 php 버전이 여떻게 될까요? [9] 2014.04.01 by Luatic™
AJKJ 만우절 addon 재업합니다. [10] file 2014.04.01 by HolyJohn
YJSoft XpressEngine 일본 사이트 [13] 2014.03.31 by HolyJohn
업글 업글타일에 대한 유저분들의 생각이 궁금하여 글을 남깁니다. [15] file 2014.03.31 by 업글
nado0124 카*24 호스팅 전송량 모니터링이 정확하지 않네요??? [5] 2014.03.31 by KrteamENT
LI-NA 처음으로 Pull Request를 해봤습니다... (SRL 문제 해결법 제공) [11] 2014.03.31 by LI-NA
XE srl 문제와 관련하여... [7] 2014.03.31 by Luatic™
마이웹 srl 변조가 어떻게 일어나는지요? [14] 2014.03.31 by 또별
GG xe 1.4 버전대는 php5.5에서 안돌아 가는가 보네요. [8] 2014.03.31 by teguh100
銀童 SRL 변조, 결점이긴 하지만 보안상 결점은 아닙니다. [5] 2014.03.30 by GG
W.O 첨부파일의 srl은 별도로 분리해야맞다고 봅니다. [6] 2014.03.30 by GG
마이웹 XE 초보자들 긴장하쇼 - XE의 탄생 [2] 2014.03.30 by HolyJohn
KrteamENT SRL조작을 막으려면 아래와 같이 해주세요. [19] 2014.03.30 by KrteamENT
마이웹 헐~ 멘붕 [13] 2014.03.30 by KrteamENT
W.O 아직도 XE Lite 사용하시는 분 계시나요? [8] 2014.03.30 by ToFinder
W.O dtd [3] 2014.03.30 by 마이웹
Torkcar 여러분들 홈피 회원 제 [3] 2014.03.30 by KrteamENT
태그 쓰기