그누보드 캡챠 무력화 보안이슈
링크의 이슈에서 소셜로그인 서비스의 비밀키 누출을 확인했는데
이슈 중간에 남겨주신 내용 중에 그냥 지나쳤는데 다시보니 캡챠 인증에 사용되는 코드도 세션에 담겨 누출되어 캡챠 기능이 무력화 될수있는 문제도 았네요.
세션 데이터를 담은 파일(/data/session/sess_*)에 대한 접근을 차단하지 않으면 캡챠로 방어된 가입, 글/댓글 쓰기 등의 방어가 무력화되어 공격자가 자동화된 툴(매크로)로 회원가입이나 글/댓글을 마구잡이로 등록할수 있는 문제가 있습니다.
그누보드는 현재 이 문제를 패치 또는 대응 방법을 안내하고 있지 않으므로 세션 데이터 파일에 대한 접근을 각자 자력으로 해결하시길 권장합니다.
|
댓글을 작성하시려면 로그인이 필요합니다.
댓글 4개
이미 11년 전에 알려진 문제인데도 방치되어있었군요.
https://sir.kr/g5_pds/6462