포럼
캡챠 지데루 뚤렸네요....
2014.05.09 06:59
현재 xe 무방비 상태네요....
진짜 심각하네요.
우선은 절대로 회원 가입 받지 말고 로그인 회원 만 글쓸수 있도록 막아 놓으면 스펨성 글들은 막을 수 있네요...
하루에 수백개이상의 변화 무쌍한 ip가지고 막기란 거의 불가능하네요....
지금 대체할 만한 캡챠 다른 버전을 찾아보고 있습니다.
리캡챠는 다좋은데 단어가 너무 어려워서 일반인도 넣기 힘들더라구요...
현재 어떻게 뚤었는지 확인중에 있습니다. 신기하네요.......
아마도 우회하여 가입을 한것 같은데..
댓글 21
-
qwms
2014.05.09 08:12
-
zombiman
2014.05.09 09:16
회원 가입하려고 인증번호 받기를 누르면 Field 'resevdate' doesn't have a default value
메세지가 나오면서 인증번호가 오지 않아요. ㅜㅠ ㅋ
-
핸드폰 인증 모듈을 textmessage 모듈로 업데이트 했었는데 테이블에 오류가 있네요.
<column name="reservdate" type="varchar" size="14" notnull="notnull" />
로 되어있네요.<column name="reservdate" type="varchar" size="14" />
수정하고 테이블 재생성했습니다. -
zombiman
2014.05.09 09:37
=_=bb
-
몽실아빠
2014.05.09 09:52
아직 스패머들이 가입을 하지 않고 있지만 예방차원에서 설치했어요. 근데 이런건 널리 알리시면 뚫릴 위험이 있으니 혼자 사용하시는게 좋을수도 있어요 ㅋ
-
Double'U'
2014.05.09 09:42
제가 관리하는 사이트들은 아직 없는데요.
한번 뚫리면 머지 않아 공격이 올텐데 긴장만 하고 있네요..-0;;;
-
KrteamENT
2014.05.09 10:06
전 뚫리지 않을겁니다.
네. 그럴겁니다.
왜냐구요?
그러게요.(?)
는 거짓말이구..
실은 애드온으로 영문만 있으면 글을 쓰지 못하게 하였고,
Explorer엔진이나, 브라우저가 아니면 글을 쓰지못하는 애드온도 만들었고..
글자에 특정문구가 들어가도 그냥 등록눌러도 씹어버리고 있고..
뭐.. 버틸만하고 여태 뚫린적이 없는거 같네요 -
sasaki911
2014.05.09 10:17
영문 100%도 전 뚫렸네요~
내용이 영문 100%로 한동안 막혔나 했더니~
이번엔 내용을 아예 안써버리네요~
어제만 게시판에 1000개 넘개 스팸글 달렸네요~(내용없는... 제목만 있는 글들이)
-
KrteamENT
2014.05.09 10:19
그럴줄 알구 저는 내용을 빈칸제외 20자를 써야게시글로 인정하지요.
즉, 이건 절대 뚫을수 없다고밖에.. -
sasaki911
2014.05.09 10:33
그건 혹시 직접 코드 추가 하신건가요? 아니면 여기 애드온 기능이 있는건가요?
알 수 있을까요?
-
KrteamENT
2014.05.09 10:45
직접개발입니당~ㅎㅎ -
sasaki911
2014.05.09 10:59
자꾸 댓글 달아 죄송해요~
minlength 사용하신건가요?
좋은하루되세요~^^
-
KrteamENT
2014.05.09 11:33
네, 그것도 사용하고 이것저것 썼습니다 -
Explorer엔진이나, 브라우저가 아니면 글을 쓰지못하는 애드온도 만들었고..
이부분은 여타 물리 프로그램을 개발할때 속일려면 얼마든지 속일수 있는 부분이라 도움이 안될꺼 같구요...
글쓰는 부분에서 미국 사람들도 있거덩요....
그리고 대부분 자신의 광고를 달려고 글을 쓰는것이기때문에 그런 방법으로는 해결이 안될듯 싶습니다.
좀더 근원적으로 캡차 부분에서 손을 봐야 되는듯 싶네요....
-
KrteamENT
2014.05.09 12:12
전 애드온을 따로 만든지라.. -
geogeo123
2014.05.09 12:06
메일 인증도 뚫은건가요? (2)
-
간만에 맴버 캡차 부분도 보고 있습니다.
그런데 가입시 틀려봤는데... 조금만 틀려도 귀찮게 화면이 싹다 지워지는 버그도 있네요...
이래서는 회원을 받을 수 없는 프로그램이 되었네요...
좀더 근원적으로 접근해서 봐야 겠습니다..
-
이거는 어떠신지...
http://www.conory.com/file_market/20604
-
혹시나 해서 그러는데 xe 1.7 버전 기준으로 member 모듈의 member.controller.php 파일을 열어 보시고
249라인쯤에 있는 function porcMemberInsert() 함수를 찾아 보세요.
그리고 첫줄에
if (Context::getRequestMethod () == "GET") return new Object (-1, "msg_invalid_request");
가 있는데 이 앞에
if(!checkCSRF()) return new Object(-1, 'msg_invalid_request');
이거 한줄을 추가해 보시겠습니까?이걸 추가하고 회원 가입이나 여러가지 정상적인 기능들을 테스트 해 보시고 문제 없다고 판단되면 한번 며칠간 지켜보고 또 무단 회원가입이 뚤리는지 확인해 주시면 감사하겠습니다.
코드를 추가해서 스팸도 안들어오고 잘 된다면
function procMemberModifyInfo()
함수에도 첫줄에 추가하시면 좋을것 같습니다.
-
독도2005
2014.05.10 01:23
이 부분은 깃허브에 올려서 이슈화 시키는 것이 좋을듯 합니다...
메일 인증도 뚫은건가요?