포럼
게시판에 동영상 문의(1.4.5.10)
2011.12.09 10:05
안녕하세요
XE 1.4.5.10 버전을 사용하고 있습니다.
게시판에 동영상을 스크랩해서 작성 해서 저장 했는데
동영상 대신 아래 문구가 떠서 문의 합니다.
"보안 문제로 관리자 아이디로는 embed를 볼 수 없습니다. 확인하시려면 다른 아이디로 접속하세요"
참고로 로그아웃이나 수정시는 정상적으로 보입니다.
관리자로 로그인 하면 위 빨강색 문구가 뜹니다.
1.5.1에서는 관리자 아이디로 로그인 하면 동영상이 보입니다.
http://www.rjsoo.kr/?module_srl=1910&search_target=tag&search_keyword=hello%EC%B0%A8%EC%B0%A8%EC%B0%A8&document_srl=1922&mid=carb07
동영상 소스
<p align="center">
<object id="DanawaPlayer" width="480" height="383" type="application/x-silverlight-2"><param NAME="_cx" VALUE="12700"/><param NAME="_cy" VALUE="10133"/><param NAME="Background" VALUE="black"/><param NAME="EnableFramerateCounter" VALUE="0"/><param NAME="EnableCacheVisualization" VALUE="0"/><param NAME="EnableRedrawRegions" VALUE="0"/><param NAME="Source" VALUE="http://news.danawa.com/Player/DanawaPlayer.xap"/><param NAME="MaxFramerate" VALUE="60"/><param NAME="Windowless" VALUE="0"/><param NAME="OnError" VALUE=""/><param NAME="OnFullScreenChanged" VALUE=""/><param NAME="OnResize" VALUE=""/><param NAME="OnZoom" VALUE=""/><param NAME="OnLoad" VALUE=""/><param NAME="InitParams" VALUE="MeidiaId=836,Width=480,Height=383,HostPage=http://news.danawa.com/tv/index.php?nSeq=1611542&nOption=391"/><param NAME="Culture" VALUE=""/><param NAME="UICulture" VALUE=""/><param NAME="EnableHtmlAccess" VALUE="-1"/><param NAME="AllowHtmlPopupWindow" VALUE="-1"/><param NAME="SplashScreenSource" VALUE=""/><param NAME="OnSourceDownloadComplete" VALUE=""/><param NAME="OnSourceDownloadProgressChanged" VALUE=""/><param NAME="MinRuntimeVersion" VALUE="3.0.40624.0"/><param NAME="AutoUpgrade" VALUE="true"/><param NAME="EnableGPUAcceleration" VALUE="0"/><param NAME="EnableAutoZoom" VALUE="0"/><param NAME="EnableNavigation" VALUE=""/>
댓글 2
-
답변 감사합니다.
그런데 1.5.1에서는 관리자 아이디로 로그인 하면 동영상을 볼수 있습니다.
1.4.5.10 버전에서만 해당 하는지?
| 글쓴이 | 제목 | 최종 글 |
|---|---|---|
| 모조키 | 순전히 궁금해서 그러는데요.. 회원가입 왜 이렇게 만들었을까요?? [3] | 2011.12.13 by 푸하라 |
| 銀童 | 다음 에디터7 XE 적용(작업중) [38] | 2011.12.13 by 앙까? |
| 서비여 |
여기 xe공홈 게시판에 아직도 문제가 있네요
[3]
 | 2011.12.13 by 정찬명 |
| 가브리엘조 |
가입폼....언제쯤이면...
[3]
| 2011.12.12 by ToFinder |
| Treasurej | 같은 위젯을 여러 개 불러오면 css/js 파일... [3] | 2011.12.12 by 배워서남준다 |
| VL-2536 | XE와 관련된 여러가지 문제점.. | |
| 웹 엔진 |
다운로드 에러 없어진줄 알앗더니 아직도 있네요,,
| |
| Blues! | 희안하네요, 1.5.1로 업데이트했는데 아무 문제가 없네요. [6] | 2011.12.10 by 서비여 |
| plruto |
XE공식사이트 중복 메타태그 수정건과 몇가지 건의사항
[3]
| 2011.12.10 by SMaker |
| 비밀얌 | 여기 XE공식 사이트에 검색안되나요? [3] | 2011.12.10 by 비터 |
| rjsoo | 게시판에 동영상 문의(1.4.5.10) [2] | 2011.12.10 by rjsoo |
| roks821 |
페이지 작성 - 콘탠트위젯 수정할 때 사이트모듈이 사라졌어요.
[4]
| 2011.12.10 by _writer |
| 모조키 | 페이지 모듈 관리자에 내용삭제버튼 하나 달아주세요.. | |
| NA답답이 | 웹호스팅과 서버호스팅의 선택 기준 [2] | 2011.12.10 by NA답답이 |
| 까멸 | 사이트맵 백지현상 | |
| 銀童 | 다음 에디터 7이 나왔네요. [18] | 2011.12.10 by 銀童 |
| 서비여 |
쉬운설치 이건 무슨 경우일까요?
[11]
| 2011.12.10 by 서비여 |
| 우진홈 | 1.5 글로벌 버전 대응하기... [11] | 2011.12.10 by 코뿔소2020 |
| NA답답이 |
사용하던 사이트가 갑짜기 설치 화면(해킹..?)이 뜨는데...
[3]
| 2011.12.09 by NA답답이 |
| 푸하라 | xml 쿼리 자동생성 프로그램을 만드는것은 어떨까요????? [6] | 2011.12.09 by 銀童 |
일전에 해당 부분에 대해서![[레벨:30]](http://www.xpressengine.com/modules/point/icons/default/30.gif "포인트:534572point, 레벨:30/30")
Zero 님이 답변하신것을 가져와봤습니다.
참고하세요~
CSRF라는 해킹 기법이 있습니다.
이걸 이용하면 님의 사이트에 최고관리 권한의 아이디를 생성할 수 있습니다.
쉽게 말씀드리면 Javascript, Flash등을 통해 최고관리자가 글을 볼 때 글을 보고 있는 최고 관리자의 권한으로 무엇이든 할 수 있는 것입니다.
사이트 관리를 위해서만 최고관리자로 접속을 하시고 그렇지 않을 경우는 일반 아이디를 만들어서 사용하시는 것을 권해드립니다.
다만 이 방법이 불편하기에 최고관리자로 접속시 CSRF 해킹 기법이 아예 통하지 않도록 해버린 것입니다.
자바스크립트나 HTML 코드를 이용한 취약 코드와 달리 플래시는 XE에서 내용에 어떤 코드가 있는지 알수 없기에 아예 막아버린 것이구요,
어떻게든 풀어버리시면 보안 취약점 분명 발생하는 것이라고 말씀드리고 싶네요.
이 CSRF는 XE뿐 아니라 모든 웹프로그램에 존재하는 것입니다.