sir 소희의 장난을 벗어나기 위한 발악~ 정보
sir 소희의 장난을 벗어나기 위한 발악~
본문
영자님이 얼마전에 공지로 해결책을 마련하기 위한 작업에 돌입하신듯 합니다만....
아직까지 감감하기에 몇자 적어봅니다.
열심히 궁리하고 있는데 친구가 음주가무를 청하길래 얼싸좋다고 장단을 맞췄더니 지금 정신이 몽롱합니다.
사설을 중단하고 본론으로 들어갑니다.
비회원이 글을 적으려고 클릭을하면 빨간색 글자를 그대로 적어라고 하지요.
거기 무시기냐....정규표현식 좀 알고 소켓통신 좀 알면 방문안해도 우습게 긁어오지요.
일예로....예전에 뮤크박스(음악사이트)가 회원이 아니면 전혀 음악을 들을 수 없었지만 저는 들었습니다. 물론 불법....^^
한마디로 비밀키 이것이니....알아서 하라는 야기지요.
그것이 지금 사건의 발단이 아닌가 생각해 봅니다.
비밀키는 소스 어디에도 보이면 안되겠지요. 그런데 그누는 2군데서 보여줍니다.
첫번째가 빨간 글씨로 입력하는 부분이거든요.
그래서 GD 함수(imagettftext) 사용하여 비밀키를 이미지로 바꿧습니다.
그러면 소스에 적어도 비밀키는 안나오겠죠?
두번째로 <?=md5($norobot_key)?> 요놈이 보여주네요.
글쓰기에서 마우스 오른쪽 눌러서 소스보기 해보세요.
var md5_norobot_key = <= 이부분을 검색하시면 보일겁니다.
그 키값의 해독 함수가 hex_md5() 이라는 것까지 write.skin.php 안에 포함되어 있습니다.
결론적으로 말씀드리자면 암호화를 하는 함수가 있으면 푸는 함수도 있습니다.
그렇다면 키값이 절대 소스에 보여서는 안된다는 것이죠.
키값을 세션으로 처리하던 쿠키로 처리하던....(사실 이것도 공개소스에서는 미결책)
소스에 한번도 보이지 않고 키값을 이미지 처리하여 인증하는 방법이라면....
그래도 소희가 장난치기에는 힘이 들지 않을까 하는 것이 저의 짧은 소견입니다.
부디 영자님이 해결책을 제시해 주시길 바랍니다.
저는 norobot.inc.php 파일을 무시하고 구현한것은 있지만 최대한 소스를 건드리지 않고 해결할 수 있는 소스를 영자님이 공개해 주시길 바랍니다.
또한 쓰기 버튼을 눌렀을때 인증키가 맞는지 틀린지를 판단하는 소스도 히든 프레임을 이용한 방법을 사용해야겠지요.
어이고...머리야...............즐건 주말되세요.
아직까지 감감하기에 몇자 적어봅니다.
열심히 궁리하고 있는데 친구가 음주가무를 청하길래 얼싸좋다고 장단을 맞췄더니 지금 정신이 몽롱합니다.
사설을 중단하고 본론으로 들어갑니다.
비회원이 글을 적으려고 클릭을하면 빨간색 글자를 그대로 적어라고 하지요.
거기 무시기냐....정규표현식 좀 알고 소켓통신 좀 알면 방문안해도 우습게 긁어오지요.
일예로....예전에 뮤크박스(음악사이트)가 회원이 아니면 전혀 음악을 들을 수 없었지만 저는 들었습니다. 물론 불법....^^
한마디로 비밀키 이것이니....알아서 하라는 야기지요.
그것이 지금 사건의 발단이 아닌가 생각해 봅니다.
비밀키는 소스 어디에도 보이면 안되겠지요. 그런데 그누는 2군데서 보여줍니다.
첫번째가 빨간 글씨로 입력하는 부분이거든요.
그래서 GD 함수(imagettftext) 사용하여 비밀키를 이미지로 바꿧습니다.
그러면 소스에 적어도 비밀키는 안나오겠죠?
두번째로 <?=md5($norobot_key)?> 요놈이 보여주네요.
글쓰기에서 마우스 오른쪽 눌러서 소스보기 해보세요.
var md5_norobot_key = <= 이부분을 검색하시면 보일겁니다.
그 키값의 해독 함수가 hex_md5() 이라는 것까지 write.skin.php 안에 포함되어 있습니다.
결론적으로 말씀드리자면 암호화를 하는 함수가 있으면 푸는 함수도 있습니다.
그렇다면 키값이 절대 소스에 보여서는 안된다는 것이죠.
키값을 세션으로 처리하던 쿠키로 처리하던....(사실 이것도 공개소스에서는 미결책)
소스에 한번도 보이지 않고 키값을 이미지 처리하여 인증하는 방법이라면....
그래도 소희가 장난치기에는 힘이 들지 않을까 하는 것이 저의 짧은 소견입니다.
부디 영자님이 해결책을 제시해 주시길 바랍니다.
저는 norobot.inc.php 파일을 무시하고 구현한것은 있지만 최대한 소스를 건드리지 않고 해결할 수 있는 소스를 영자님이 공개해 주시길 바랍니다.
또한 쓰기 버튼을 눌렀을때 인증키가 맞는지 틀린지를 판단하는 소스도 히든 프레임을 이용한 방법을 사용해야겠지요.
어이고...머리야...............즐건 주말되세요.
추천
1
1
댓글 4개
100% 공감하지만 그렇다고 SIR에 100% 바랄수는 없지않나요?
수 많은 사람들이 소희가 오지 않았을때
이렇다 저렇다 나스카님 처럼 10% 거시기 한적은 없었죠.
미안합니다.
이 글이 타겟은 아니랍니다.
소희문제 너무 쉽게 생각한 것 같아서 글 남깁니다.
여러군데서 빵구났습니다. ㅜㅜ
수 많은 사람들이 소희가 오지 않았을때
이렇다 저렇다 나스카님 처럼 10% 거시기 한적은 없었죠.
미안합니다.
이 글이 타겟은 아니랍니다.
소희문제 너무 쉽게 생각한 것 같아서 글 남깁니다.
여러군데서 빵구났습니다. ㅜㅜ
영자님은 누구죠?
그누보드의 취약점도 취약점이지만
그 취약점을 파고들어와 여타 피해를 일으키는 사람에게 더 문제가 있겠죠^^
무엇이든지 100% 완벽할 순 없다고 보잖아요...ㅎ
좋은 의견 감사하며 공감+1 !
그 취약점을 파고들어와 여타 피해를 일으키는 사람에게 더 문제가 있겠죠^^
무엇이든지 100% 완벽할 순 없다고 보잖아요...ㅎ
좋은 의견 감사하며 공감+1 !
저도 한번 해보겠습니다
