포럼

  2. Support
  3. 포럼

SRL 변조, 결점이긴 하지만 보안상 결점은 아닙니다.

2014.03.30 20:07

銀童

일단 게시판에서 시끄럽길래 document_srl 에 관련되서만 확인해보았습니다. 

다른문제는 :) 말씀해주시면 확인해볼게요


procBoardInsertDocument 를 통해서 들어온 데이터는 

이미 존재하는 글(수정)인지 아닌지(신규 작성)을 document_srl 로 판단합니다. 


예를들어서 document_srl 을 변조해서 이미 있는 글을 수정할려고 시도한다면, 그 글의 권한을 가지고 있는지 체크하기때문에 글의 수정은 되지 않구요. 글이 없을경우에는 글 작성 루틴으로 들어가서


$obj->document_srl 이 없으면 다음 sequence srl 을 받아오게 되구요, 

그렇지 않은경우에는 그 srl 을 그대로 사용하게 됩니다. 


manual_insert 되는 상황을 고려한 작동 패턴으로 보이는데 물론 문제는 있습니다.


primary key 가 사이에 삽입되게되면 innodb 등은 분명 io 적인 문제도 있을테고

논리적인 오류가 발생할수도있지요. 


그렇지만 보안상 결점이라던가 하는 문제는 아닙니다 :)


이 게시물을
좋아요
목록
글쓴이 제목 최종 글
그날들 프로필 사진 영역 [13] 2020.03.14 by 애니즌
아이러브위키 XE 보안 구멍이 있는 것인가요!! 도와주세요 [4] file 2014.04.03 by 가브리엘조
XE XE 1.7.4 버전에서 알려진 문제와 해결 방법 [5] 2015.05.14 by sho
쌔때 메뉴 출력기(navigator) 중 가로메뉴가 안되요 [5] file 2011.07.22 by 쌔때
SMaker XE Admin 1.5.0 (#Part 1- 외전) file  
라르게덴 XEED 좀 어떻게 해보세요. ㅠㅠ [16] 2011.05.26 by 하늘종
내일로 XE 1.5.0의 설치화면이 인상 깊습니다. [10] 2020.03.14 by 데시
소셜웹 xe 게시판에 이미지가 안 올라가는 이유가 무엇인가요? [5] file 2011.07.04 by 고수군
라르게덴 XE는 무슨색입니까 [14] file 2020.03.14 by 인간a
유샤인 왜 이런 희한한 현상이 벌어지는 지 아시는 분 있으신지? [6] file 2011.06.29 by 유샤인
우리아기 Cent OS 6.x nginx + php-fpm + mariadb 설치 영상 없나봐요 [8] 2014.04.02 by natura
xezzang2 요즘 클라우드라는게 대세라는데 [3] 2014.04.02 by LI-NA
BonaSera DNSever 유료화 된다는군요 [7] 2014.04.02 by Garon
마음의빈자리 무료 DNS 정보네요. file  
prologos 게시글 관리문제  
도라미 다올 CMS 1.0.0.2 베타3 배포 (XE 1.5 보안패치) 긴급 !! [19] 2014.04.02 by 업글
자대련 코어 업데이트 후 회원가입 이름이 숫자(번호)로 뜨는 현상 수정  
국가정보보안 웹서버 트래픽 시각화 [1] 2014.04.01 by Luatic™
우리아기 호스팅에서 많이 쓰는 php 버전이 여떻게 될까요? [9] 2014.04.01 by Luatic™
AJKJ 만우절 addon 재업합니다. [10] file 2014.04.01 by HolyJohn
태그 쓰기