최신버전 패치중인데 관리자 로그인이 않됩니다. 정보
최신버전 패치중인데 관리자 로그인이 않됩니다.본문
adm 폴더만 올리고 사이트확인중인데요.
위 이미지처럼 사이트 로그인은 정상적으로 되는데, 관리자 페이지로 접근시
정상적으로 로그인하라면서 접근이 차단되고 로그인이 풀립니다.
// 관리자의 아이피, 브라우저와 다르다면 세션을 끊고 관리자에게 메일을 보낸다.
$admin_key = md5($member[mb_datetime] . $_SERVER['REMOTE_ADDR'] . $_SERVER['HTTP_USER_AGENT']);
if (get_session("ss_mb_key") !== $admin_key) {
session_destroy();
include_once("$g4[path]/lib/mailer.lib.php");
// 메일 알림
mailer($member['mb_nick'], $member['mb_email'], $member['mb_email'], "XSS 공격 알림", "{$_SERVER['REMOTE_ADDR']} 아이피로 XSS 공격이 있었습니다.\n\n관리자 권한을 탈취하려는 접근이므로 주의하시기 바랍니다.\n\n해당 아이피는 차단하시고 의심되는 게시물이 있는지 확인하시기 바랍니다.\n\n$g4[url]", 0);
alert_close("정상적으로 로그인하여 접근하시기 바랍니다.");
}
이부분과 관련된거 같은데 해결하려면 어떻게 해야 하나요?
댓글 전체
최신버전에서는 bbs/login_check.php 에서 추가된 관리자전용 로그인세션을 검사하는겁니다.
// 회원아이디 세션 생성
set_session('ss_mb_id', $mb[mb_id]);
// FLASH XSS 공격에 대응하기 위하여 회원의 고유키를 생성해 놓는다. 관리자에서 검사함 - 110106
set_session('ss_mb_key', md5($mb[mb_datetime] . $_SERVER['REMOTE_ADDR'] . $_SERVER['HTTP_USER_AGENT']));
// 회원아이디 세션 생성
set_session('ss_mb_id', $mb[mb_id]);
// FLASH XSS 공격에 대응하기 위하여 회원의 고유키를 생성해 놓는다. 관리자에서 검사함 - 110106
set_session('ss_mb_key', md5($mb[mb_datetime] . $_SERVER['REMOTE_ADDR'] . $_SERVER['HTTP_USER_AGENT']));
답변 감사합니다.
이부분들을 주석처리하면 되나요?
이부분들을 주석처리하면 되나요?
주석처리를 하는게 아니라 아래 코드를 bbs/login_check.php 에 추가해야 합니다.
// FLASH XSS 공격에 대응하기 위하여 회원의 고유키를 생성해 놓는다. 관리자에서 검사함 - 110106
set_session('ss_mb_key', md5($mb[mb_datetime] . $_SERVER['REMOTE_ADDR'] . $_SERVER['HTTP_USER_AGENT']));
// FLASH XSS 공격에 대응하기 위하여 회원의 고유키를 생성해 놓는다. 관리자에서 검사함 - 110106
set_session('ss_mb_key', md5($mb[mb_datetime] . $_SERVER['REMOTE_ADDR'] . $_SERVER['HTTP_USER_AGENT']));
네 감사합니다.^^
