포럼
hidden 폼의 값을 요소검사로 변경할 수가 있군요..
2013.09.07 16:12
브라우저가 발달하다보니, 여러가지 문제가 발생하는군요
form 태그에서 hidden 폼으로 전달하던 사항들은
요소검사 등을 이용하여
해당 요소검사한 소스에서 hidden 값을 직접 변경한 뒤..
사이트에서 저장하기 누르면 hidden 값이 강제 변경이 되는군요..
이게 의외로 굉장히 많은 부분에서 문제를 일으킬 수 있겠더군요
진짜 중요한 부분은 이제 스킨이 아니라
Core 에서 직접 확인해서 hidden 값까지 무시하고 처리를 해야하는 상황이 벌어지네요
댓글 6
-
푸시아
2013.09.08 03:17
룰셋도 무시되나요? -
sejin7940
2013.09.08 05:22
form 내부의 hidden 값을 바꿔버리는거기에,
그 hidden 값이 전달되는 과정의 filter 나 ruleset 이 걸리긴하겠지만..
hidden 값 자체가 변한다는게 가장 큰 문제인거죠.
-
criuce
2013.09.09 09:00
브라우저를 제외하고라도 흔히 돌아다니는 http client들은 전송값을 사용자가 얼마든지 자유롭게 수정할수있기 때문에 자동 글 작성기 같은 프로그램이 있을수 있는거니까요. -
銀童
2013.09.09 14:47
그래서 hidden 값 자체는 절대 신뢰하시면 안됩니다.
가장 좋은건 세션에 저장해두는거죠 :)
임시로 넘기는 값은 대부분 세션에서 처리하곤 합니다.
-
Xiso
2013.09.09 17:51
IE도 조작이 가능합니다. ^^
저도 어릴적엔.. 허술한 결제모듈에대고 장난 많이쳤었지요..
실제로 물건이날아온적도 있다는..;;
그래서 저는 항상 모듈짤때 검사를 가장많이 신경씁니다.
폼값데이터는 절대 신뢰하지않지요..
-
Xiso
2013.09.11 17:46
좋은예로, XE의 비밀번호변경같은경우... member_srl이 hidden 으로 있었다면..?
아무아이디나 생성 후 해당값을 4로 바꾸고 비밀번호 변경을하면 변경이 됬었겠지요...
하지만, 변경할 비밀번호만 폼값을 통해 받아오고 member_srl 이나 기존값과의 비교는 모두 세션에있는 logged_info를 통해 처리하도록 되어있어요 ^^
글쓴이 | 제목 | 최종 글 |
---|---|---|
이온디 | XE 사이트맵 같이 수정하실 분 모집합니다. [8] | 2013.09.08 by 이온디 |
doogle | 다앵글었네요. 랭크업 => XE 이전툴 ㅋㅋ | |
컴퓨터매니아 | 제작지원 게시판의 문제점 | |
doogle | 오늘도 오후에 점검이 있었는데.. [2] | 2013.09.07 by 컴퓨터매니아 |
StyleRoot | 이어받기가 가능한 대용량 다운로더 개발 [4] | 2013.09.06 by 킴똥똥 |
misol | @윈컴이 님 소환 [10] | 2016.07.26 by 윈컴이 |
Lansi | 제이쿼리를 업데이트 했으면 좋겠습니다 [5] | 2013.09.05 by EnterTM |
착한악마 | 혹시 이코드를 아시나요??? [1] | 2013.09.05 by 착한악마 |
skullacy | XE개발팀이 깜빡하신건지 간단한 코드를 빼먹으신듯(?) [2] | 2013.09.05 by skullacy |
GGobugi | 1.7에서 위젯 확장변수 잘 출력되나요? [5] | 2013.09.05 by 큰성565 |
Lansi | 댓글 새로고침이 필요한 사람이 많네요 [4] | 2013.09.05 by 아싸리방가 |
Gunmania | 음 메모리 사용량이 | |
꿀물와쪄용 | 게시판 스킨관리는 일괄 변경 안되나요? [3] | 2013.09.04 by Lansi |
컴퓨터매니아 | 도메인 - 전화번호 유출 [15] | 2013.09.04 by 컴퓨터매니아 |
이온디 | 국내 CMS 점유율 변화 [6] | 2013.09.04 by 해피지영 |
ForHanbi | 라르게덴님으로 부터 뽑아 먹을 수 있을때 뽑아 먹어야 합니다. [8] | 2013.09.04 by 해피지영 |
doogle | 이곳 홈페이지 다운로드메뉴쪽 검색이 원래 안돼고 있던건가요? [1] | 2020.03.14 by 컴퓨터매니아 |
ForHanbi | 오픈소스를 바라보는 일부 개발자들은... [2] | 2020.03.14 by BNU |
銀童 | SASS 를 소개해봅니다. | |
에버위키 | 지식in XE 1.7버전 정상작동 되나요? [5] | 2013.09.02 by 에버위키 |