묻고답하기
page_full_width" class="col-xs-12" |cond="$__Context->page_full_width">
관리자는 보안문제로 embed 내용을 보실수 없습니다?
2010.07.19 16:51
관리하던 사이트에 동영상때문에 embed태그를 사용했더니
관리자는 보안문제로 embed 내용을 보실수 없습니다 다른 아이디로 접속하세요
이런 메세지가 나오고 내용을 볼수가 없고 다른 아이디로 접속하면 보입니다
전에는 이렇지 않았는데 왜 그럴까요 ?
글쓴이 | 제목 | 최종 글 |
---|---|---|
XE | 공지 글 쓰기,삭제 운영방식 변경 공지 [16] | 2019.03.05 by 남기남 |
제쉬(zesch) |
main page가 깨져서 나옵니다.
![]() | |
닌데 | 웹상에 .주소 ...index...하는 방법좀요?...xe..사용중 입니다. [2] | 2010.07.20 by 닌데 |
김문식242 | xe의 이용약관은 어디서 볼수있나요? [1] | 2010.07.20 by 디자이너리군 |
Alone | XML Query 문법 (select) 포인트가 2점뿐이네요 [1] | 2010.07.19 by 라르게덴 |
좋은친구.. | 최근문서 출력도 따로 뭐 업로드 설치 해야합니까? [1] | 2010.07.19 by guny |
DsCs |
한번 더 물어보겠읍니다
[4]
![]() | 2010.07.19 by guny |
카이네드 | imagecreatefromwbmp() 오류 | |
kenshin.x-y.net |
회원가입폼 수정문의 드립니다.
[1]
![]() | 2010.07.19 by 디자이너리군 |
mixtwom | 제로보드xe 저와같이 뜯어보면서 공부하실분있으신가요. | |
hbeen | 페이지 수정에서 각각의 위젯을 겹치게 할 수 있는 기능 | |
혜곰돌이 | 관리자는 보안문제로 embed 내용을 보실수 없습니다? [1] | 2010.07.19 by 권태성. |
손인우 | 제로보드 초보 입니다. 제발 도와주세요..ㅠ.ㅠ [2] | 2010.07.19 by 권태성. |
kenshin.x-y.net |
조용한모음 게시판에서 날짜폰트컬러 문제입니다.
[1]
![]() | 2010.07.19 by 센스티브 |
센스티브 | 최근글 위젯 글자수 추출 방법? | |
shinju |
모듈 점검을 요청
[1]
![]() | 2010.07.19 by 디자이너리군 |
까칠한남자 | 무료도메인을 쓸려고 하는데, 연결 안 했을 때와 다른... [1] | 2010.07.19 by 디자이너리군 |
강똥꼬 | 업로드 후 xe설치 [1] | 2010.07.19 by 디자이너리군 |
모모네 |
모듈이 없어졌어요
![]() | |
느티여울 | xe 다시 설치하려고 하는데 admin 오류가 [1] | 2010.07.19 by 유샤인 |
나홍도 | 사진을 올리면 [1] | 2010.07.19 by 유샤인 |
일전에 해당 부분에 대해서
Zero 님이 답변하신것을 가져와봤습니다.
참고하시기 바라며, 아마 관리자 권한으로 올리신 영상은 보실 수 있으실겁니다.
CSRF라는 해킹 기법이 있습니다.
이걸 이용하면 혜곰돌이님 사이트에 최고관리 권한의 아이디를 생성할 수 있습니다.
쉽게 말씀드리면 Javascript, Flash등을 통해 최고관리자가 글을 볼 때 글을 보고 있는 최고 관리자의 권한으로 무엇이든 할 수 있는 것입니다.
사이트 관리를 위해서만 최고관리자로 접속을 하시고 그렇지 않을 경우는 일반 아이디를 만들어서 사용하시는 것을 권해드립니다.
다만 이 방법이 불편하기에 최고관리자로 접속시 CSRF 해킹 기법이 아예 통하지 않도록 해버린 것입니다.
자바스크립트나 HTML 코드를 이용한 취약 코드와 달리 플래시는 XE에서 내용에 어떤 코드가 있는지 알수 없기에 아예 막아버린 것이구요,
어떻게든 풀어버리시면 보안 취약점 분명 발생하는 것이라고 말씀드리고 싶네요.
이 CSRF는 XE뿐 아니라 모든 웹프로그램에 존재하는 것입니다.