그누보드4 첨부파일 명명에 문제가 있는거 아닌가요?.? 정보
그누보드4 첨부파일 명명에 문제가 있는거 아닌가요?.?본문
$upload[$i][file] = abs(ip2long($_SERVER[REMOTE_ADDR])).'_'.substr($shuffle,0,8).'_'.str_replace('%', '', urlencode(str_replace(' ', '_', $filename)));
여기서 보면
첨부파일 renaming에 ip2long을 사용하는데 이를 long2ip로 변환하면 작성자의 ip를 알 수 있게 됩니다.
다른값이 전혀 붙지 않기 때문에 무조건 알 수 있는데 괜찮은가요?
추천
0
0
댓글 3개
다운로드 할 때 URL을 통해 파일명이 저렇게 노출된다면 유추할 위험이 있을 수도 있으나,
다운로드할 때는 wr_id값과 파일번호 값을 통해 첨부파일 데이터베이스를 조회하고 해당 첨부파일 레코드의 원본이름 값을 추출하여 내려받기 전에 변환시키기 때문에 게시자의 아이피노출 문제가 발생되지 않습니다.
명명의 문제 보다는 그누보드 사용의 미숙함으로 data 디렉토리인덱스가 풀려있거나 할 경우에 모든 파일이 노출됩니다. (하지만 기본적으로 index 파일이 박혀있죠^^; 아무리 미숙해도 지우진 않을거라 생각되지만)
애초에 외부에서 저 값을 보고 데이터 디렉토리에 접근할 수 있을까요?
다운로드할 때는 wr_id값과 파일번호 값을 통해 첨부파일 데이터베이스를 조회하고 해당 첨부파일 레코드의 원본이름 값을 추출하여 내려받기 전에 변환시키기 때문에 게시자의 아이피노출 문제가 발생되지 않습니다.
명명의 문제 보다는 그누보드 사용의 미숙함으로 data 디렉토리인덱스가 풀려있거나 할 경우에 모든 파일이 노출됩니다. (하지만 기본적으로 index 파일이 박혀있죠^^; 아무리 미숙해도 지우진 않을거라 생각되지만)
애초에 외부에서 저 값을 보고 데이터 디렉토리에 접근할 수 있을까요?
사진파일명으로 글쓴이 IP 확인이 가능한게 문제가 있다고 생각하네요
다운로드가 아니라 그냥 이미지 자체의 URL에서 표시가 되기 때문에
사진을 첨부한글을 볼수 있다면 누구든지 작성자의 IP를 알아낼수있죠
다운로드가 아니라 그냥 이미지 자체의 URL에서 표시가 되기 때문에
사진을 첨부한글을 볼수 있다면 누구든지 작성자의 IP를 알아낼수있죠
많이 신중하시네요.
개인적으로 저게 굳이 문제가 된다 하더라도, 누구든지가 아닌, PHP를 다룰 수 있는 일부 사용자가 작성자의 아이피를 알아내는 것이라고 생각이 되는데요. 저는 개인적으로 개인식별번호로써 아이피주소는 의미가 없다고 생각되어서 일단 그냥 넘어가는 부분이긴 하지만 궁금해집니다.
아이피를 알고 난 후에는 어떤 위험이 있을 수 있을까요?
개인적으로 저게 굳이 문제가 된다 하더라도, 누구든지가 아닌, PHP를 다룰 수 있는 일부 사용자가 작성자의 아이피를 알아내는 것이라고 생각이 되는데요. 저는 개인적으로 개인식별번호로써 아이피주소는 의미가 없다고 생각되어서 일단 그냥 넘어가는 부분이긴 하지만 궁금해집니다.
아이피를 알고 난 후에는 어떤 위험이 있을 수 있을까요?