버그 제보 하나 더할께요
검색을 할 때
제목, 제목+내용, 글쓴이, 글쓴이(코) 등등
이렇게 있잖아요
여기서 제목란을 없엔다고해서 검색을 못하는게 아니더라구요.
예를들어 지금 그누보드4>그누4질문답변 게시판에서
검색 선택에 '제목'은 없지만 url 수정으로
http://sir.co.kr/bbs/board.php?bo_table=g4_qa&sca=&sfl=wr_subject&stx=%EB%B3%B4%EB%93%9C
이렇게 뒷부분에 값을 붙여주면 검색이 되네요.
이게 악용이 될 수 있는 부분이 있어요.
익명게시판을 만들고 검색란을 다 삭제해도 url로 역추적을 한다면
특정유저가 쓴 글을 찾을 수 있을 것 같네요.
|
댓글을 작성하시려면 로그인이 필요합니다.
댓글 4개
if($_POST['sfl']=='wr_subject' || $_GET['sfl']=='wr_subject'){ alert('-_-+++'); }
이정도로 막을수 있을듯
질게에서 제목만으로 검색이안되는데 본문url조작으로 검색가능해져요
제목부터 여러가지로 검색할 수 있게 되어있는데 안보이게 했다고하여 검색 안될리가 없지요
익명 게시판이라함은 글쓴이를 안보이게 한다는 것인데 제목으로 검색하여 글쓴이를 알 수 있다면
익명 게시판 자체를 잘못 만든 것이지요
제목이던 아이디던 검색 안되게 하려면 리스트페이지 뿐만 아니라 bbs/list.php를 수정해야죠
그누보드에 기본으로 익명 게시판이 있고 이런 현상이 있다면 버그이지만 없는 기능을 만들어서
버그라고 할 수는 없는 거 아니겠어요? 그런 문제는 제작자 본인 몫인 것이죠
예를들어 게시판 리스트에 작성자 레벨에 따른 아이콘을 넣고싶은데 스킨에서 아이콘출력 부분만
만들어 놓고 나오지 않으니 그누보드 버그다 라고할 수 없는 것과 같은 이치 아니겠어요?