포럼
SRL 변조, 결점이긴 하지만 보안상 결점은 아닙니다.
2014.03.30 20:07
일단 게시판에서 시끄럽길래 document_srl 에 관련되서만 확인해보았습니다.
다른문제는 :) 말씀해주시면 확인해볼게요
procBoardInsertDocument 를 통해서 들어온 데이터는
이미 존재하는 글(수정)인지 아닌지(신규 작성)을 document_srl 로 판단합니다.
예를들어서 document_srl 을 변조해서 이미 있는 글을 수정할려고 시도한다면, 그 글의 권한을 가지고 있는지 체크하기때문에 글의 수정은 되지 않구요. 글이 없을경우에는 글 작성 루틴으로 들어가서
$obj->document_srl 이 없으면 다음 sequence srl 을 받아오게 되구요,
그렇지 않은경우에는 그 srl 을 그대로 사용하게 됩니다.
manual_insert 되는 상황을 고려한 작동 패턴으로 보이는데 물론 문제는 있습니다.
primary key 가 사이에 삽입되게되면 innodb 등은 분명 io 적인 문제도 있을테고
논리적인 오류가 발생할수도있지요.
그렇지만 보안상 결점이라던가 하는 문제는 아닙니다 :)
댓글 5
-
qwms
2014.03.30 20:21
-
일단은 수정이 필요해 보입니다만, 아예 글쓰기와 글 수정을 구분하는게 나을 것 같습니다.
act를 다르게 해버리고, 글 수정은 없는 srl이면 오류를 리턴하고 말이죠.
-
예전에도 논의되었던 이슈였는데요.
현재 swf 로 업로드 되어서 임의로 srl 을 발급받고 document 등록하는 방식을 생각하여 파일 첨부와 함께 글을 등록할때 보안상 문제가 있는게 맞습니다.
-
銀童
2014.03.30 22:29
큰 의미는 없어보이네요 :)
.. 그걸 업로드하고있는 사람의 글을 등록못하게 해서 보안상 문제가 있을수가 있나요?
-
사이트에 글 등록이 안되더라구요 ㅡ.ㅡ;;
뭔가 제가 잘 모르는 것이 더 있는 건가요...
글쓴이 | 제목 | 최종 글 |
---|---|---|
그날들 | 프로필 사진 영역 [13] | 2020.03.14 by 애니즌 |
아이러브위키 |
XE 보안 구멍이 있는 것인가요!! 도와주세요
[4]
![]() | 2014.04.03 by 가브리엘조 |
XE | XE 1.7.4 버전에서 알려진 문제와 해결 방법 [5] | 2015.05.14 by sho |
쌔때 |
메뉴 출력기(navigator) 중 가로메뉴가 안되요
[5]
![]() | 2011.07.22 by 쌔때 |
SMaker |
XE Admin 1.5.0 (#Part 1- 외전)
![]() | |
라르게덴 | XEED 좀 어떻게 해보세요. ㅠㅠ [16] | 2011.05.26 by 하늘종 |
내일로 | XE 1.5.0의 설치화면이 인상 깊습니다. [10] | 2020.03.14 by 데시 |
소셜웹 |
xe 게시판에 이미지가 안 올라가는 이유가 무엇인가요?
[5]
![]() | 2011.07.04 by 고수군 |
라르게덴 |
XE는 무슨색입니까
[14]
![]() | 2020.03.14 by 인간a |
유샤인 |
왜 이런 희한한 현상이 벌어지는 지 아시는 분 있으신지?
[6]
![]() | 2011.06.29 by 유샤인 |
우리아기 | Cent OS 6.x nginx + php-fpm + mariadb 설치 영상 없나봐요 [8] | 2014.04.02 by natura |
xezzang2 | 요즘 클라우드라는게 대세라는데 [3] | 2014.04.02 by LI-NA |
BonaSera | DNSever 유료화 된다는군요 [7] | 2014.04.02 by Garon |
마음의빈자리 |
무료 DNS 정보네요.
![]() | |
prologos | 게시글 관리문제 | |
도라미 | 다올 CMS 1.0.0.2 베타3 배포 (XE 1.5 보안패치) 긴급 !! [19] | 2014.04.02 by 업글 |
자대련 | 코어 업데이트 후 회원가입 이름이 숫자(번호)로 뜨는 현상 수정 | |
국가정보보안 | 웹서버 트래픽 시각화 [1] | 2014.04.01 by Luatic™ |
우리아기 | 호스팅에서 많이 쓰는 php 버전이 여떻게 될까요? [9] | 2014.04.01 by Luatic™ |
AJKJ |
만우절 addon 재업합니다.
[10]
![]() | 2014.04.01 by HolyJohn |
제 생각에도 글의 권한 체크를 하는거 같아
크게 문제는 안된다고 생각합니다.
하지만 이를 이용해 다른일을 할 수 있는게 생기면 ;ㅅ;