예약 게시판 폼 전송 취약점 개선 작업
진료 예약을 하는 게시판을 운영중에 있습니다.
하나 특정 사용자가 비정상적인 방법으로 예약을 시도하고 있어서
개선을 위하여 작업 의뢰를 드립니다.
문제점 :
특정 사용자가 예약 폼에 있는 input value 값을 비정상적인 방법(디버깅 툴로 예상)으로 데이터 변조하여
예약을 시도하는 문제가 발생하였습니다.
실제 선택할 수 있는 값이 (날짜:2016년 12월 28일, 예약시간:10:00) 이와 같다면
value 값을 변조하여 (날짜:2016년 12월 29일, 예약시간:10:10)과 같이 DB에 데이터가 들어가게 됩니다.
이와 같이 디버깅 툴이나 비정상적인 방법으로 데이터가 변조를 약용하는 사용자를
막기 위한 취약점 개선 작업이 필요합니다.
답변 주실때 어떤 방법으로 개선 작업이 들어가는지 같이 말씀 부탁드리겠습니다.
자세한 내용은 아래 테스트 서버에서 확인 부탁드립니다.
예약 게시판(로그인정보 : test2016/1234)
http://woorisoa3.cafe24.com/bbs/board.php?bo_table=bkoutpatient
|
댓글 작성
댓글을 작성하시려면 로그인이 필요합니다.
로그인하기
댓글 4개
eagleowm@naver.com
최광우
연락 주세요
개선 작업이
폼양식및 DB 필드 의 저장 및 수정이 불가능 하도록 필드 수정 을 하면됩니다
작업 시간 1시간 이내
비용 10만원
저는 16년차 개발자 입니다. 문의전화 070 7613 7669로 연락주시면 자세한 파악후 제안드리도록 하겠습니다.
저는 모든 의뢰글에 글을남기는 개발자가 아닌 작업규모가 들어오거나 확실히 지킬수있는 프로젝트에만 견적 및 기간을 제시하고 지원하고있습니다.
해당 문제는 디비업데이트전 한번더 체크해서 유효한 값인지 검증하는 부분이 필요한데 해당로직이 들어가있지 않아 폼값만을 변경하여 공격하는 조작법입니다.
원소스를 분석을 해야겠지만 1~2일 정도 안에 끝나는 작업으로 예상 되며 금액은 15만원 입니다.
감사합니다.
- 향후 as까지 책임지며 꼼꼼하고 정확한프로그래밍으로 만족시켜드립니다
- 지속적으로 프로그래머가 필요하시거나 컨설팅이 필요하실때 연락주세요.
연락처 : 010-5066-5355
이메일 : expand@naver.com
kakao : sloopinc
site : http://sloop.co.kr
의뢰 드린 부분은 다른 개발자분이 처리해주셨습니다.
다음에 기회가 되면 직접 의뢰 드리도록 하겠습니다.
감사합니다.