타운광장토픽게시판

재밌으려고 올린 글이 공포감을 조성한 것 같아요.

misol
조회 수 172
크게 작게 댓글로 가기
크게 작게 위로 아래로 댓글로 가기

 재밌다고 생각해서 올린 글이 엄청난 공포감만 불러일으킨거 같군요..

문제가 된 부분이 있다면 '최고 관리자가 이런 글을 읽는다면' 이라는 상황에서 발생한 것 같습니다. 본의는 아녔지만 혼란을 드려서 죄송합니다.

최고 관리자 권한이 있는 계정으로는 관리만 한다면 아무 문제도 일어나지 않습니다.

관리자 계정과 어울리기 위한 계정을 따로 두는 것이죠.

다른 XSS나 CSRF 등등 앞단에서 생길 수 있는 취약점에서도 마찬가지 일거에요. 일반 회원은 그런 일을 할 권한 자체가 없으니까요.


다시 한번 혼란 드려서 죄송합니다.

위로 아래로
댓글 17
  • ?
    엄청난 도움이 되신것 같은데 말이죱... 죄송하다뇨 ㅜㅜ....
  • ? ?
    권한 없는 일은 할 수 없긴 한데.. 권한이 너무 큰 사용자가 있다는걸 깜박 했어요.ㅠㅠ
  • ? ?
    xe3 로 모두 갈아타게 만들수 있는 큰 한방이었어요~~~! ㅋㅋㅋㅋㅋ
  • profile
    임시 처방전을 만들어봤습니다. 요고 한번 테스트해봐주세요.
    https://xetown.com/alley/25851
  • profile
    듣기론 관리자 권한도 취득 가능하다고 본 것 같은데...

    아무튼 불안한 통로가 열려있으니 어떤 기발한 방법으로 공격할 지 모르니까요..

    오히려 미솔님이 제보 안했다면 영문도 모르는 방법당했을 겁니다.

    전 충분히 옳은 일을 했다고 생각합니다.
    어쨌든 빠른 조치 (공식은 아니지만) 취할 수 있었으니까요.

    또 이렇게 xe타운의 순기능이 작용하네요 !
  • profile
    '최고 관리자가 이런 글을 읽는다면' 상황에서만 벌어지지않습니다.

    일반 계정끼리도 충분히 위험할 수 있습니다.

    예를 들면 자신의 글을 다른회원이 읽으면 자동으로 추천하게 만든다거나(하늘희님한테 당함ㅋㅋ),
    글이 마음에 들지않는다는 이유로 글의 댓글로 악성코드를 넣고, 작성자한테 그 글 읽게 만들면 그 글은 삭제당하는 거죠.
  • profile ?
    그런 상황도 가능하겠네요.. ㅎㅎㅎ ㅠㅠ
    애드온으로 걸러봤습니다.
    일단 제 테스트 코드는 잘 걸러지는 것 같아요.
  • profile profile

    그렇습니다.

    악용한다면 저같으면 이렇게 했을 것 같습니다.

    회원 삭제도 가능하다면, 임의로 member_srl을 1부터 x만번대까지 입력해서(사이트 게시물과 회원수를 보고 대충 판단)

    게시글을 올리는 거지요. (혹은 게시물일 수도 있겠죠?)

    그럼 관리자가 볼 경우 모든 회원이 삭제되고, 회원이 볼 경우 본 회원만 삭제가 되겠죠....

     

    해킹이나 취약점에 취자도 모르는 제가 이정도 생각할 정도면,, 이것이 본업이나, 크래커였다면...ㅎㄷㄷ

  • ? profile
    그나저나, 논란을 오히려 미솔님보다 제가 더 키운 것 같네요..-_-;;

    본의 아니가 자동추천도 해버리고..크크크
  • profile profile
    사이트를 그냥 날려버릴 계획이군요..ㅎㅎ
  • profile profile
    물론 한번에 처리하는 양이 엄청 많아서 (회원수나 게시물이 많은 사이트) 리밋 걸릴지도 모르겠지만,,,

    아무튼.. 무서운 녀석이였습니다...크흡.. 다시 한번 XE타운의 소중함을 깨닫습니다.
  • profile ?
    하아... 그러지마요....
  • ? profile
    T^T 미솔님 잘못 아닙니다!! 죄책감 가지지 마시옵소서..ㅆ^ㅆ
  • profile ?
    보안 이슈를 너무 공개적으로 올린거 같아서 후회하고 있어요..
  • ? profile
    보안이슈라 생각하지 않으셨기 때문일 겁니다.

    저도 처음엔 보안이슈라 생각하지 않았었는데, 최근 뽐뿌 해킹으로 인한 다양한 방법으로 사이트를 유린하는 것을 봤기 때문에,

    혹시 저게 가능하다면? 다른 것도 가능하지 않을까 하는 마음에 xe타운에 작성하였고, 그게 진짜로 돼서 당황스러웠습니다..ㅎ
    (덕분에 추천은 많이 받았;; 오히려 미솔님께 감사의 말씀을..킄)
  • profile

    개발자들은 이런거 보면 재미있으니까 자동로그아웃에 머물지 않고 더 대담하게 실험해 보게 되죠.
    그러다 보면 엄청난 취약점이 발견될 수도 있고...

    모두들 잠시 비상이 걸렸겠지만 패치도 빨리 나왔고
    생소한 종류의 보안취약점에 대한 경각심을 높이는 계기도 된 것 같아요.

    작년의 드루팔 SQL injection 사태가 떠오르네요. Prepared statement를 사용하니 안전하다고 자부했지만
    아무도 신경쓰지 않은 작은 실수 때문에 그 모든 방어가 한순간에 무너져내렸죠 ㅠㅠ

    그나저나 다들 어서 패치를 적용하거나 미솔님 애드온을 설치해야 할 텐데...

    XE는 오래된 버전을 쓰는 분들이 많아서 걱정입니다.

  • profile ?
    흐음 ㅠㅠ