일단 공홈에 로그인하신 후
https://xe1.xpressengine.com/forum/23092097
이 글을 클릭하면 자동으로 로그아웃이 됩니다 ^^
댓글 달고 싶으면 다른 탭에서 다시 로그인한 후에 써야 하죠.
댓글 쓰고 페이지 새로고침되는 순간 다시 로그아웃!
지금의 XE 구조에서 CSRF 공격을 완벽하게 막기는 힘들 듯 ㅠㅠ
P.S. 공홈에서는 장난쳐도 되지만(?) XE타운에서 장난치면 콘노리님이 싫어하십니다.
-
?
https://developer.mozilla.org/en-US/docs/Web/HTTP/Content_negotiation 이걸로 브라우저의 의도를 구분할 수 있을거라 생각했는데, 되기도 하고 안되기도 하네요 ㅋㅋ
-
Lv37 
Lv19 IE8 이하는 http://greatkim91.tistory.com/144 처럼 Accept Header를 이상하게 보낸다고 하네요. http://blogs.msdn.com/b/ieinternals/archive/2009/07/01/ie-and-the-accept-header.aspx 에 따르면 레지스트리에서 Accept값을 가져와서 보내는 거라는데 이건 뭐... 그래도 다행인 점은 IE9부터는 제대로 보낸다네요. -
Lv11 아, 이거 한번 들어가고 로그아웃 되서, 귀찮아 로그인을 포기했죠 ㅋㅋ -
오.... img 주소로도 CSRF 공격이 들어오는군요. 아무래도 보안 쪽은 영 제 분야는 아닌 것 같아요. 머리아픔!ㅠㅠ -
Lv6 와 이거 너무 한데요 방법도 너무 쉬워서 .. 치명적이다 못해.. 업데이트를 안하는 xe사이트는 맘대로 털리는거 아닌가요 ? -
Lv6
Lv37 로그아웃이 특별히 허술하긴 합니다.
별다른 데미지는 없고 그냥 귀찮을 뿐이니까 굳이 신경써서 만들지 않은 거죠.
사실 XE로 사이트 만들어 쓰다가 아무 이유없이 로그인 풀리는 게 한두번도 아니고 ㅋㅋㅋ
-
?
곧 패치 되겠죠?
-
ㅎㄷㄷ 하네요 ;;;