어제 제가 올리긴 하였지만..
현재로써는 각 사용자들이 주의를 가지고 수정을 하는쪽이 더 좋습니다.

중고딩이 발견햇다니 ..
초딩용 사이트만들면 되죠머 ㅋ

중고딩이 발견햇다니 ..
그냥 딱들으면 저런 어린것들이 찾았다니 이렇게들립니다만;;
듣는건 나혼자 이렇게생각할수있겟지만

요즘 중학생 고등학생들  실력 장난아닙니다.

의미가 좀 듣기 그런부분인것 같네요.;

크게 걱정할 일은 아닌 것 같습니다.

[스팸 방지 우회 취약점에 대해서 “그누보드는 소스가 공개되어 있어서 세션이 어디에 저장되는지 알 수 있다. 그리고 스팸 방지 코드를 암호화하지 않고 세션에 저장하기 때문에 세션이 저장된 파일을 열면 스팸 방지 코드가 그대로 나와있어서 그누보드의 스팸 방지 코드를 우회할 수 있다”고 설명했다.]

세션을 찾아 읽을 수 있을 정도면 사실 해킹된 겁니다. 서버를 해킹해서 단순히 스팸 방지 우회만 하실려구요???

[글쓰기 30초 제한 우회 취약점에 대해서는 “글쓴 후 세션에 $_SESSION["ss_datetime"]에 시간을 지정하게 된다. 하지만 세션에 저장하기 때문에 간단히 로그아웃 후 로그인하면 30초 제한 없이 계속 글이나 댓글을 등록할 수 있다”며 “이를 악용하면 자동으로 회원가입후 게시판 주소 수집과 모든 게시글에 광고 댓글을 작성하는 로봇이 간단히 만들어질 수 있는 상황이다. 이미 존재하고 있을 것으로 예상한다”고 밝혔다.]

이건 맞는 말이지만 로그인과 로그아웃이 외부에서 접근시 순식간에 이루어지지는 않습니다. 또한 글쓰기를 방지하는 일보다 그 로그인 사용자가 누군지가 다 드러나는 일을 누가 할까요???

세션이 어디에 저장되는지 알 수 있다.

세션정보가 쿠키에 저장되고 쿠키에 있는 정보로 코드를 보고 세션 주소를 알아내서 보면 보이네요.. 잠깐봐선 세션 폴더 접근만 막으면 될거 같은데;

말그대로 이 취약점은 계정 해킹? 이런거와 상관없이 광고에 많이 악용될 듯 하네요

이건 계정해킹을 위한것이 아니라 삽시간 광고를 위한 편법입니다
스팸프리라고 불리는 이미지 입력코드 뚫는방법과 30초가 지나지 않아도 글을 계속 올릴 수 있는 방법...

한동안 웹보안에 신경을 쓰지 않아 생각이 둔해진 것 같네요. 자기 세션이니까 가능한거죠.

그렇지만 로그인을 해야 글을 쓸 수 있다는 점에서 크게 염려하지 않아도 될 것 같습니다. 또한 스팸방지 코드를 md5로 하여도 현재 숫자로만 되어있는 코드는 0에서 9999까지의 코드를 생성해서 db에 저장해놓으면 금방 알 수 있습니다. 따라서 md5를 쓰는 것도 의미가 없어보입니다.

스펨글 남기는걸 우회하는 방법이네요 이런거야 해킹이 아닌이상 퉁쳐도~

인재들입니다.
대한민국의 보물이네요.