포럼
xe 1.7.3.5 관리자패널에서 회원추가관련 오류
2013.09.30 17:33
https://code.google.com/p/xe-core/source/detail?r=13164
./modules/member/member.admin.controller.php 에서
24번째 줄 아래로
$logged_info = Context::get('loggd_info');
if($logged_info->is_admin != 'Y' || !checkCSRF())
{
return new Object(-1, 'msg_invalid_request');
}
코드가 추가됬는데 이경우, 관리자패널 회원목록 회원추가 부분에서 잘못된 요청입니다. 라고 오류가 나면서 회원추가를 할수없습니다.
$logged_info = Context::get('logged_info');
if($logged_info->is_admin != 'Y' || !checkCSRF())
{
return new Object(-1, 'msg_invalid_request');
}
이렇게 바꾸면 정상적으로 작동합니다.
댓글 15
-
misol
2013.09.30 17:41
-
도라미
2013.09.30 17:43
근데 위의 코드는 아예... 회원추가기능을 못쓰게 해버리죠...
-
라르게덴
2013.09.30 17:48
보안이슈로 만들어진 코드입니다.
코드는 맞게 들어갔고요.
호환문제에 대해서는 제가 만든 멀티도메인을 사용하시든가,
개발하신 내용중에 form action에 url(도메인)을 넣지마시고 상대경로로만 값을 보내시기 바랍니다. -
도라미
2013.09.30 17:50
제가 개발중인 기능은 아니고...
주소/index.php?module=admin&act=dispMemberAdminInsert 인 xe 관리자패널에서 회원을 추가하는 부분에서 발생되는 문제입니다...
-
라르게덴
2013.09.30 17:56
한번 멀티도메인 설치하셔서 사용해보실래요?
csrf기능에 따른 불편함을 일부해소시켜놓은 모듈이거든요. 싱글도메인이라도 사용가능합니다. : ) -
도라미
2013.09.30 17:59
네... 사용해보겠습니다.
저는 회원추가 부분은 잘 사용하진 않지만... 새로 추가된 코드로 인해서 원래 작동되는게 안된다면 수정되야한다는 의도로 작성해봤습니다...
개발팀에서 이슈보시고 판단해주시겠지만요...
-
라르게덴
2013.09.30 21:46
정정합니다.
보안 이슈 개선한 코드가 조금 문제가 있네요.(코드에 오타가 있습니다.)
개발진들에게 알려줘야겠네요. : )
-
도라미
2013.09.30 22:01
$logged_info = Context::get('loggd_info'); 가
$logged_info = Context::get('logged_info'); 로 수정되야 하는거군요... -
푸시아
2013.09.30 21:59
저는 새로운 패치를 다운받지는 않았지만 현상으로 미루어 짐작해 보건대
config-func.inc.php 파일에서 대략 1419 라인쯤에 있는
function checkCSRF() 함수가 뭔가 잘못된것 같은 느낌입니다.
말씀하신 두번째 && 처리 해 버리시면 checkCSRF() 가 거짓일 경우라도 그냥 넘어가므로
보안성 체크가 안되는 것 같습니다.
-
도라미
2013.09.30 22:02
눈에 티안나는 오타가 있었네요.. -
라르게덴
2013.09.30 22:02
푸시아님... 오타가 문제였어요 ^^
checkCSRF는 별로 잘못도 없는 착한아이랍니다. :)
-
푸시아
2013.09.30 22:12
앗... checkCSRF가 수정되면서 오타가 있는줄 알았네요.
댓글 괜히 적었네요 ㅠㅠ
-
푸시아
2013.09.30 22:15
근데 이왕에 checkCSRF 를 적용할 거면,
회원가입, 게시물등록, 댓글등록 등 모든 등록하는 부분에 다 적용해 주었으면 좋겠네요~
-
銀童
2013.09.30 22:31
아... 부끄러..
-
도라미
2013.09.30 22:51
네??
글쓴이 | 제목 | 최종 글 |
---|---|---|
큰성565 | iframe(아이프레임) 일반회원에게 사용가능하도록..하기 [8] | 2013.10.14 by 귀머거리하늘 |
샤인922 | 개인정보보호법 기준에 맞는 비밀번호 암호화 적용은 언제? [5] | 2013.10.14 by 리크스 |
디쎔버 | 종전 게시판EX 휴지통이 어디 있죠? | |
백년여우 | 도와주세요...ㅠㅠ [1] | 2013.10.12 by 참치.k |
socialskyo | [진지하게] 공홈에러는 구글 프로젝트입니까? 네이버 고객센터입니까? [3] | 2013.10.12 by ToFinder |
스비라 | XE 1.7.3.4버전.. [8] | 2013.10.11 by 스비라 |
피파13 | 서브도메인을 이용하면 하나의 웹호스팅 계정으로 여러개의 홈페이지를 운영할 수 있나요? [11] | 2014.05.21 by BonaSera |
휘즈 | 공홈 에러관련 혹시나 해서 | |
GGobugi | 이슈에 등록된 문제들이 빨리빨리 해결되지 않는 것 같아 답답합니다. | |
스비라 | 저만의 문제인지 궁금합니다. 짧은주소 관련 [2] | 2013.10.10 by 스비라 |
socialskyo | 클리앙에 보니 요런게 개발 되었더군요.. [9] | 2013.10.09 by socialskyo |
socialskyo | 스케치북 게시판 1.7 대응 버전 - 개발자 요청 사항 [1] | 2013.10.09 by nado0124 |
컴매냐 | XE 이용을 위하여 | |
라르게덴 | XE는 기술개발 이외에도 UI, 디자인 개발도 논의 되어야... [6] | 2013.10.15 by 휘즈 |
푸시아 | 웹 개발자라면 호주로, 웹 사업자라면 필리핀으로 | |
sejin7940 | 예전에 썼던 글인데 요즘은 논란이 될 수 있어 자삭합니다 ^^; [33] | 2013.10.07 by 컴매냐 |
socialskyo | 개발자분들 포트폴리오에 대해서... [1] | 2013.10.06 by 푸시아 |
컴매냐 | PHP 5.4에서 XE 사용 [3] | 2020.03.14 by Gunmania |
Goos | 오늘 XE쪽 CDN 파일이 이상한가요? | |
식군 | 지금 쉬운설치가 정상적으로 작동하나요? [4] | 2013.10.03 by 식군 |
checkCSRF 만 False 인 경우에도 체크가 되어야 하기 때문에 아래 대안으로 올리신 코드는 적절하지 않을 것 같아요.