포럼
hidden 폼의 값을 요소검사로 변경할 수가 있군요..
2013.09.07 16:12
브라우저가 발달하다보니, 여러가지 문제가 발생하는군요
form 태그에서 hidden 폼으로 전달하던 사항들은
요소검사 등을 이용하여
해당 요소검사한 소스에서 hidden 값을 직접 변경한 뒤..
사이트에서 저장하기 누르면 hidden 값이 강제 변경이 되는군요..
이게 의외로 굉장히 많은 부분에서 문제를 일으킬 수 있겠더군요
진짜 중요한 부분은 이제 스킨이 아니라
Core 에서 직접 확인해서 hidden 값까지 무시하고 처리를 해야하는 상황이 벌어지네요
댓글 6
-
푸시아
2013.09.08 03:17
룰셋도 무시되나요? -
sejin7940
2013.09.08 05:22
form 내부의 hidden 값을 바꿔버리는거기에,
그 hidden 값이 전달되는 과정의 filter 나 ruleset 이 걸리긴하겠지만..
hidden 값 자체가 변한다는게 가장 큰 문제인거죠.
-
criuce
2013.09.09 09:00
브라우저를 제외하고라도 흔히 돌아다니는 http client들은 전송값을 사용자가 얼마든지 자유롭게 수정할수있기 때문에 자동 글 작성기 같은 프로그램이 있을수 있는거니까요. -
銀童
2013.09.09 14:47
그래서 hidden 값 자체는 절대 신뢰하시면 안됩니다.
가장 좋은건 세션에 저장해두는거죠 :)
임시로 넘기는 값은 대부분 세션에서 처리하곤 합니다.
-
Xiso
2013.09.09 17:51
IE도 조작이 가능합니다. ^^
저도 어릴적엔.. 허술한 결제모듈에대고 장난 많이쳤었지요..
실제로 물건이날아온적도 있다는..;;
그래서 저는 항상 모듈짤때 검사를 가장많이 신경씁니다.
폼값데이터는 절대 신뢰하지않지요..
-
Xiso
2013.09.11 17:46
좋은예로, XE의 비밀번호변경같은경우... member_srl이 hidden 으로 있었다면..?
아무아이디나 생성 후 해당값을 4로 바꾸고 비밀번호 변경을하면 변경이 됬었겠지요...
하지만, 변경할 비밀번호만 폼값을 통해 받아오고 member_srl 이나 기존값과의 비교는 모두 세션에있는 logged_info를 통해 처리하도록 되어있어요 ^^