포럼
중요한 문제, XE 보안의 너무 중요한 문제
2014.06.12 22:45
XE의 호스팅 관리자는 회원들의 암호를 인코딩되지 않은 형태로 모두 볼 수 있네요.
알고계시나요?
어제 발견했어요.
세상에 ....
고수님들 이미 알고계신 내용아닌가요?
이걸 어디다 예기하죠?
XE 사용하는 사이트에 여러군데 가입하고 암호 사용하고 했는데,
제 사이트의 호스팅 관리자로 어디를 보다가 발견했는데 기겁할 내용입니다.
혹시 알고계시나요?
여기다가 어디에서 봤다고 하면 안될 것 같아서...
github 이라는 곳 보기는 했지만 어떻게 어디다 써야할지 몰라 여기다 올립니다.
댓글 7
-
qwms
2014.06.12 22:48
-
SeungXE
2014.06.12 22:52
암호는 해시로 저장되구요,
해시는 다음과 같습니다
password 라는 단어가 있다면 이걸 해시라는 값으로 변환을 합니다.
그럼 password => 5f4dcc3b5aa765d61d8327deb882cf99 와 같이 변환이 되고, 이를 미리 변환해서 저장해두지 않으면 5f4dcc3b5aa765d61d8327deb882cf99 라는 값에서 password 로의 변환은 불가능합니다. 적어도 아직까지 나온 복호화 방식은 없습니다.
그래서 로그인시 5f4dcc3b5aa765d61d8327deb882cf99 라는 값을 유저가 모르기 때문에, 유저가 password 라는 암호를 입력하면 그 암호의 해시값을 내서 입력한 암호의 해시값이 5f4dcc3b5aa765d61d8327deb882cf99 인지를 검사하는겁니다. 5f4dcc3b5aa765d61d8327deb882cf99를 암호란에 입력해봤자 로그인은 불가능하구요.ㅎㅎ
왜냐하면 5f4dcc3b5aa765d61d8327deb882cf99 를 암호란에 입력하면 해시값은 696d29e0940a4957748fe3fc9efd22a3 라는 값이기 때문입니다.ㅎㅎ 따라서 해시가 다르니 로그인이 되지 않는 것이지요.
물론 XE에서 다른 해시 알고리즘을 사용할 수 있으나, 무슨 알고리즘을 사용하던 복호화가 불가능하단 점은 같으니 걱정 마세요.
-
처음듣는 얘기인데.. 자세히 설명가능하실까요? ^^
어찌보면 굉장히 중요한 얘기라.. -
orangehome
2014.06.12 23:22
자라등 보고 놀라서 무슨 뚜껑 보고 놀란다고....
이미지 첨부합니다.
왜 이러죠?
다는 아니고 몇몇 계정의 암호가 DB 테이블에 그대로 노출되어있네요...
-
SeungXE
2014.06.12 23:43
아래 댓글에도 있듯이, 일부 계정에 대해 extra_vars에 비밀번호가 저장되는 오류가 있었다고 하네요!
-
akasima
2014.06.12 23:32
https://github.com/xpressengine/xe-core/issues/458
여기서 처리 했는데요.. 이전에 등록되어 있던 비밀번호에 대해서는 따로 처리 하지 않았습니다.
-
orangehome
2014.06.12 23:44
네, 다행입니다. 한시름 놓았네요.
관리자가 만든 것을 사용자가 변경하면 없어지나요?
저희는 전화로 사용자의 정보 받아 대리 등록해드리는 업체인데...
임시 암호 만들어 보내거든요.
그러면 사용자가 로그인하여 변경하도록합니다.
워낙 인터넷 고령층이 많은 사이트라 서리 :)
고맙습니다.
에이...설마 무슨 개인이 만든 간단한 프로그램도 아니고..
http://www.xpressengine.com/contact 참조해주세요...
보안 문제를 발견하셨다면 저희에게 알려주세요.
문제를 재현하는 과정과 관련 code, 스크린샷 등을 첨부하여developers@xpressengine.com으로 알려주시기 바랍니다.
에이 설마..