포럼
일베회원검사기라는게 난리네요.
2014.05.08 13:36
(일단 일간베스트 저장소 사이트 이야기는 아닙니다. XE관련 내용입니다.)
https://gist.github.com/anonymous/59dc98f6336a88d75b88
소스가 공개되어있어 소스를 분석해보니 가입폼의 자바스크립트를 이용하여 리턴된 메세지를 확인한다음, 해당 사이트의 회원인지를 체크하는거네요.
이 외에도 특정 사이트의 회원임을 확인시킬때 아이디, 비밀번호 찾기의 이메일주소를 이용하는 경우도 있는걸로 보이더라구요.
XE로 사이트를 운영하고있는 입장에서는 이런것 자체가 있다는게 상당히 찝찝합니다.
이것을 막을수 있는 근본적 대책은 무엇이 있을까요? 해당 사이트 덕택에 하지 않아도 될 고민을 하게 만드네요..
댓글 14
-
Double'U'
2014.05.08 14:09
-
혹은 접속 로그를 분석해서 해당서버 IP를 막는 방법도 있겠죠.
저 방식대로라면 한 아이피에서 dispMemberSignUpForm act만 접속할테니까요
-
mAKEkr
2014.05.08 16:17
IP만 막기에는 무리가 있어보여요. Ajax로 구현한다면 충분히 가능한 방식이라..
-
teguh100
2014.05.08 14:21
-
퍼니엑스이
2014.05.08 14:51
하루(혹은 몇 시간이나 몇 분이내)에 보낼 수 있는 인증 메일 갯수를 제한하는 게 유일한 해결 방법이 되겠네요. -
이게 좋을 거 같네요 :)
-
이야... 리턴 메시지를 이런 식으로 이용할 수도 있군요.
-
mAKEkr
2014.05.08 16:46
저도 놀랐습니다. 취지를 제외하고 XE로 제작된 이상, 보안 취약점이라는 문제점을 떠안을 수 밖에 없는것같아요.
-
글쎄요. 이게 보안 취약점일지는 모르겠어요.
인젝션을 날린다고 해도 내부 서버에서 행하는 것과 외부 서버에서 행하는 것의 차이점은 없을 것 같아요.
PHP 처리 과정에서 걸러내지 않을까 합니다. -
큰돌♡
2014.05.08 18:03
MemberSignUpForm에서 호출한 페이지를 검사해서 외부에서 접근했으면 살포시 접근 거부를 하도록 하면 어떨까요?
-
일베에 직접 들어가 확인해보니 , 캡챠를 넣는 방식으로 해당 방법을 차단했네요.
-
정도길
2014.05.08 19:05
이게 그런거가 아닌가.. 생각되네요 물론 소스를 보거나하지는 않았지만....
그 아이디/비번찾기를 이용하여 이메일이나 핸드폰번호 등으로 아이디/비번을 찾는것과
뭔가 연관되어있는것 같아요? ..
-
가입시 이메일을 입력받은뒤, 입력받은 이메일로 가입 링크를 전송 혹은 중복 여부를 보내주면 됩니다.
비밀번호 찾기는 메일로 계정정보를 무조건 보낸다라고 표시한후 계정정보가 없을경우 계정정보 없음이라는 메일을 보내면 되죠.
그러면 본인 이메일이 아닌 이상 가입되어 있는지 확인할수 없게 되겠죠? 조금 귀찮겠지만요..
-
또별
2014.05.09 01:17
이것도 패치 해야 되는것 아닌가요? xe1743v 나와야 되는건가요?
저 소스면 사이트 주소만 바꾸면 다 적용되는 것 아닌가요?
그렇다고 비번 찾기를 막을 수도 없구요.
횟수 제한 정도가 한계일것 같아요...-0-;;