그누보드4 첨부파일 명명에 문제가 있는거 아닌가요?.?
$upload[$i][file] = abs(ip2long($_SERVER[REMOTE_ADDR])).'_'.substr($shuffle,0,8).'_'.str_replace('%', '', urlencode(str_replace(' ', '_', $filename)));
여기서 보면
첨부파일 renaming에 ip2long을 사용하는데 이를 long2ip로 변환하면 작성자의 ip를 알 수 있게 됩니다.
다른값이 전혀 붙지 않기 때문에 무조건 알 수 있는데 괜찮은가요?
|
댓글을 작성하시려면 로그인이 필요합니다.
댓글 3개
다운로드할 때는 wr_id값과 파일번호 값을 통해 첨부파일 데이터베이스를 조회하고 해당 첨부파일 레코드의 원본이름 값을 추출하여 내려받기 전에 변환시키기 때문에 게시자의 아이피노출 문제가 발생되지 않습니다.
명명의 문제 보다는 그누보드 사용의 미숙함으로 data 디렉토리인덱스가 풀려있거나 할 경우에 모든 파일이 노출됩니다. (하지만 기본적으로 index 파일이 박혀있죠^^; 아무리 미숙해도 지우진 않을거라 생각되지만)
애초에 외부에서 저 값을 보고 데이터 디렉토리에 접근할 수 있을까요?
다운로드가 아니라 그냥 이미지 자체의 URL에서 표시가 되기 때문에
사진을 첨부한글을 볼수 있다면 누구든지 작성자의 IP를 알아낼수있죠
개인적으로 저게 굳이 문제가 된다 하더라도, 누구든지가 아닌, PHP를 다룰 수 있는 일부 사용자가 작성자의 아이피를 알아내는 것이라고 생각이 되는데요. 저는 개인적으로 개인식별번호로써 아이피주소는 의미가 없다고 생각되어서 일단 그냥 넘어가는 부분이긴 하지만 궁금해집니다.
아이피를 알고 난 후에는 어떤 위험이 있을 수 있을까요?