그누 회원가입 보안패치 궁금사항 정보
그누 회원가입 보안패치 궁금사항본문
http://www.sir.co.kr/bbs/board.php?bo_table=g4_pds&wr_id=3343
register_form.skin.php - 511 line
set_cookie("<?=md5($token)?>", "<?=base64_encode($token)?>", 1, "<?=$g4['cookie_domain']?>");
폼 전송 전에 쿠키로 토큰 값을 저장.
register_form_update.php - 5 ~ 22 line
/*
// 081022 : CSRF 에서 토큰 비교는 의미 없음
// 세션에 저장된 토큰과 폼값으로 넘어온 토큰을 비교하여 틀리면 에러
if ($_POST["token"] && get_session("ss_token") == $_POST["token"])
{
// 이전 폼 전송 바로전에 만들어진 쿠키가 없다면 에러
//if (!get_cookie($_POST["token"])) alert_close("쿠키 에러");
// 맞으면 세션과 쿠키를 지워 다시 입력폼을 통해서 들어오도록 한다.
set_session("ss_token", "");
set_cookie($_POST["token"], 0, 0);
}
else
{
alert_close("토큰 에러");
exit;
}
*/
----
결론 : register_form.skin.php 의 511 line 라인은 의미 없다? ㅡ_
댓글 전체