• 그누보드란?
• 라이센스
• 매뉴얼
• FAQ
• 다운로드
• 질문답변
• 옛질문답변
• 팁자료실
• 스킨
• 빌더
• 플러그인
• 사용후기
• 그누사전
• 변환프로그램
• DTD Proj
• DTD 스킨

• 그누보드란?
• 라이센스
• 매뉴얼
• FAQ
• 다운로드
• 질문답변
• 옛질문답변
• 팁자료실
• 스킨
• 빌더
• 플러그인
• 사용후기
• 그누사전
• 변환프로그램
• DTD Proj
• DTD 스킨

그누4 질문답변

form 질문. 정보

form 질문.

• 깜찍한악마 홈페이지 자기소개 아이디로 검색 회원게시물
• 2006.09.27 19:05:59
• 1,892

댓글 11

본문

html로 게시판에서 글쓰기를 합니다.

 

hidden으로 업데이트 되는 문서에 name 값을 충족되게 form을 날리면 실행이 됩니다.

 

어떻게 하면 게시판내에서 제어를 할 수 있을까요...?

 

이전에 옥에티에 작성을 하였지만 패치는 되지 않고 있습니다.

 

코드를 공개하여 말하자니 무분별한 공격?으로 수정이 될 수 있을텐데...

 

대책이 안 서네요... ^ ^;;

• 복사
• SNS 공유

  공유하기

댓글 전체

지윤지영 홈페이지 자기소개 아이디로 검색 회원게시물 06.09.27 20:34:54

어떻게 하면 게시판내에서 제어를 할 수 있을까요...?

==> 뭘 제어를 한다는건지요?

어떻게 하면 게시판내에서 제어를 할 수 있을까요...? ==> 뭘 제어를 한다는건지요?

깜찍한악마 홈페이지 자기소개 아이디로 검색 회원게시물 06.09.27 21:16:19

hidden으로 날린 name 값이요. ^^

hidden으로 날린 name 값이요. ^^

헐랭이 홈페이지 자기소개 아이디로 검색 회원게시물 06.09.27 22:34:07

원본 코드를 살펴보니 회원정보 수정시 업데이트 과정에서 문제점이 다소 보입니다.
정보 수정시에 검사 과정을 대부분 스크립트를 사용함으로 인하여 말씀하신 내용과 같이
hidden으로 업데이트 되는 문서에 name 값을  form 을 날리면 실행이 됩니다

단 리퍼러 체크를 함므로 보내는 경로가 현재사이트 주소가 아니라면 차단이 되도록 되어 있네요.
 register_update.php 에서 검사 과정을 대폭 추가해야 할듯 합니다.

원본 코드를 살펴보니 회원정보 수정시 업데이트 과정에서 문제점이 다소 보입니다. 정보 수정시에 검사 과정을 대부분 스크립트를 사용함으로 인하여 말씀하신 내용과 같이 hidden으로 업데이트 되는 문서에 name 값을 form 을 날리면 실행이 됩니다 단 리퍼러 체크를 함므로 보내는 경로가 현재사이트 주소가 아니라면 차단이 되도록 되어 있네요. register_update.php 에서 검사 과정을 대폭 추가해야 할듯 합니다.

천상재회 홈페이지 자기소개 아이디로 검색 회원게시물 06.09.27 22:39:29

세션이나 쿠키쪽도 한번 생각해 볼 필요가 있을듯 합니다....^^

세션이나 쿠키쪽도 한번 생각해 볼 필요가 있을듯 합니다....^^

깜찍한악마 홈페이지 자기소개 아이디로 검색 회원게시물 06.09.27 22:44:18

리퍼러체크를 하면 주소창에 다다닥 쓰는 것만 막지 않나요?

리퍼러체크를 하면 주소창에 다다닥 쓰는 것만 막지 않나요?

천상재회 홈페이지 자기소개 아이디로 검색 회원게시물 06.09.27 22:48:22

각 글작성폼에 스크립트가 아닌 php로 url을 체크하는 것도 하나의 방법이 될 수 있습니다....^^

이를 업데이트 최상단에서 비교하면 안될까용?.....

각 글작성폼에 스크립트가 아닌 php로 url을 체크하는 것도 하나의 방법이 될 수 있습니다....^^ 이를 업데이트 최상단에서 비교하면 안될까용?.....

헐랭이 홈페이지 자기소개 아이디로 검색 회원게시물 06.09.27 22:39:08

맞는 방법인지 모르겠지만 제나름대로 꼼수를 생각해 본겁니다만^^
관리자 모드에서 금지 태그 항목으로 form 태그도 지정하시고
게시판 스킨의 view.skin.php 상단에 아래의 코드를 활용 하셔도 되겠네요.

sir 자유게시판 의 특정단어 치환 참조
// 아래의 문자열이 들어간 글은 -x 를 붙여서 실행을 금지함
$view[content] = preg_replace("/(form|action|script|iframe)/i", "$0-x", $view[content]);

예제 : http://aaschool.net/@/tb.php/sub1_1/1

맞는 방법인지 모르겠지만 제나름대로 꼼수를 생각해 본겁니다만^^ 관리자 모드에서 금지 태그 항목으로 form 태그도 지정하시고 게시판 스킨의 view.skin.php 상단에 아래의 코드를 활용 하셔도 되겠네요. sir 자유게시판 의 특정단어 치환 참조 // 아래의 문자열이 들어간 글은 -x 를 붙여서 실행을 금지함 $view[content] = preg_replace("/(form|action|script|iframe)/i", "$0-x", $view[content]); 예제 : http://aaschool.net/@/tb.php/sub1_1/1

깜찍한악마 홈페이지 자기소개 아이디로 검색 회원게시물 06.09.27 22:45:22

일단 알려주신 꼼수로써 대체를 해야겠습니다.

근데 예제는 안 열리네요. - _-ㅋ

관심을 갖어주셔서 감사합니다~ ^ ^

일단 알려주신 꼼수로써 대체를 해야겠습니다. 근데 예제는 안 열리네요. - _-ㅋ 관심을 갖어주셔서 감사합니다~ ^ ^

헐랭이 홈페이지 자기소개 아이디로 검색 회원게시물 06.09.27 22:49:47

요상하게 트랙백 주소가 먹통입니다.ㅋㅋ
http://www.avaschool.net/@/board.php?bo_table=sub1_1&wr_id=1

요상하게 트랙백 주소가 먹통입니다.ㅋㅋ http://www.avaschool.net/@/board.php?bo_table=sub1_1&wr_id=1

깜찍한악마 홈페이지 자기소개 아이디로 검색 회원게시물 06.09.27 23:02:02

일일히 스킨에다 넣는 것 보다는 bbs/view.php 파일에 삽입했더니 잘 됩니다. ^^

일일히 스킨에다 넣는 것 보다는 bbs/view.php 파일에 삽입했더니 잘 됩니다. ^^

헐랭이 홈페이지 자기소개 아이디로 검색 회원게시물 06.09.27 23:08:05

아래의 코드는 모? 보드의 회원 가입시에 사용하는 방법인데 이전 페이지의 이름을 체크 하는듯
합니다. 응용해 보세요.^^
if(!eregi($HTTP_HOST,$HTTP_REFERER)) Error("정상적으로 작성하여 주시기 바랍니다.");
if(!eregi("member_join.php",$HTTP_REFERER)) Error("정상적으로 작성하여 주시기 바랍니다","");
if(getenv("REQUEST_METHOD") == 'GET' ) Error("정상적으로 글을 쓰시기 바랍니다","");

아래의 코드는 모? 보드의 회원 가입시에 사용하는 방법인데 이전 페이지의 이름을 체크 하는듯 합니다. 응용해 보세요.^^ if(!eregi($HTTP_HOST,$HTTP_REFERER)) Error("정상적으로 작성하여 주시기 바랍니다."); if(!eregi("member_join.php",$HTTP_REFERER)) Error("정상적으로 작성하여 주시기 바랍니다",""); if(getenv("REQUEST_METHOD") == 'GET' ) Error("정상적으로 글을 쓰시기 바랍니다","");