폼값에서 히든값을 완전히 감추게 하는방법은...? 정보
폼값에서 히든값을 완전히 감추게 하는방법은...?본문
안녕하세요.
현재 sms 보내기 작업을 하고 있습니다만 뚜렷한 꽁수가 생각안나서 질문해봅니다.
제 웹사이트에서 회원들에게 sms를 보내게 하려는데..
그 업체 아디와 패스워드는 제껏입니다. 모든 회원이 하나의 아디와 패스워드로 보내게 되는것입니다.
그럼 보내는 회원들은 제아디와 패스워드로 sms를 보내게 되는것인데 글캐 되면 다른 작업자는
폼만 만들어서 다른곳에서도 보낼수 있습니다. 소스 보기 하면 hidden값에 제아디와 패스가 다 나오기 때문이죠.
숨길 꽁수나 팁은 없을까여??
수고하세요~
댓글 전체
기존에 적용해서 특별한 오류없이 정상적인 가동되었다는
소스파일이 첨부되어야 할 것 같군요.
ID/PW가 소스보기에서 누출된다는 것은,
현재 가동시킨 소스파일을 봐야 답변을 유추할 수 있을 겁니다.
====================================================
과정을 유추할 수 있는 근거가 아무것도 없는 상태에서 OO를 했는데 정보가 누출된다.
====================================================
답변을 해 주실 분들이 처음부터 소스파일을 새롭게 만들어드려야 할까요?
그건 아니라고 봅니다.
만약 그러한 것을 원하셨다면 '제작의뢰'란으로 본 게시물을 옮기셔야 할 것 같군요.
소스파일이 첨부되어야 할 것 같군요.
ID/PW가 소스보기에서 누출된다는 것은,
현재 가동시킨 소스파일을 봐야 답변을 유추할 수 있을 겁니다.
====================================================
과정을 유추할 수 있는 근거가 아무것도 없는 상태에서 OO를 했는데 정보가 누출된다.
====================================================
답변을 해 주실 분들이 처음부터 소스파일을 새롭게 만들어드려야 할까요?
그건 아니라고 봅니다.
만약 그러한 것을 원하셨다면 '제작의뢰'란으로 본 게시물을 옮기셔야 할 것 같군요.
안녕하세요. 나스카님..기존에 적용해서 사용했던것은 없구요.
내용은 간단한것입니다. 즉 (가상으로 적는다면) sms보내기 페이지에서 소스 보기를 하면
<input type="hidden" name="username" value="webguy">
<input type="hidden" name="password" value="web_pass">
<input type="hidden" name="returnurl" value="http://www.webguy.org/love/sms/sms.php">
이렇게 하면 http://www.webguy.org/love/sms/sms.php 페이지에 hidden값으로 webguy와 web_pass값을 준다는것을
사용자는 소스보기로 알수 있습니다. 그러면 사용자는 다른 페이지에 위와같이 코드를 적용하면
그대로 sms를 사용하게 되니까 저는 사용자가 소스보기해도 username과 password를 안보여주기를
원하는겁니다.
제가 설명이 너무 부족했나봐요..
내용은 간단한것입니다. 즉 (가상으로 적는다면) sms보내기 페이지에서 소스 보기를 하면
<input type="hidden" name="username" value="webguy">
<input type="hidden" name="password" value="web_pass">
<input type="hidden" name="returnurl" value="http://www.webguy.org/love/sms/sms.php">
이렇게 하면 http://www.webguy.org/love/sms/sms.php 페이지에 hidden값으로 webguy와 web_pass값을 준다는것을
사용자는 소스보기로 알수 있습니다. 그러면 사용자는 다른 페이지에 위와같이 코드를 적용하면
그대로 sms를 사용하게 되니까 저는 사용자가 소스보기해도 username과 password를 안보여주기를
원하는겁니다.
제가 설명이 너무 부족했나봐요..
그런데...
패스워드는 type = "password"로 넘겨야 하지 않을까요?
패스워드 폼을 굳이 hidden으로 넘길 필요가 있을까라는 생각을 가져 봅니다.
<input type="password" name="password" value="web_pass">
가장 중요한 것은 미리 유추할 수 있는 상황이라 할지라도,
직접 수행하는 과정에서 그 문제점을 하나씩 제거해 가는 것이리라 여겨집니다만...
그리고 추가 코멘트에서는 method에 대한 언급이 없지만,
form name="거시기머시기" method="post" 와 같은 형태로 post방식으로 넘기셨겠지요?
이미 알고 계시는 내용이겠지만 method에 대한 아주 간략한 링크입니다.
http://search.empas.com/search/all.html?s=&f=&k=&z=A&q=method+get%B0%FA+post%C0%C7+%C2%F7%C0%CC%C1%A1
패스워드는 type = "password"로 넘겨야 하지 않을까요?
패스워드 폼을 굳이 hidden으로 넘길 필요가 있을까라는 생각을 가져 봅니다.
<input type="password" name="password" value="web_pass">
가장 중요한 것은 미리 유추할 수 있는 상황이라 할지라도,
직접 수행하는 과정에서 그 문제점을 하나씩 제거해 가는 것이리라 여겨집니다만...
그리고 추가 코멘트에서는 method에 대한 언급이 없지만,
form name="거시기머시기" method="post" 와 같은 형태로 post방식으로 넘기셨겠지요?
이미 알고 계시는 내용이겠지만 method에 대한 아주 간략한 링크입니다.
http://search.empas.com/search/all.html?s=&f=&k=&z=A&q=method+get%B0%FA+post%C0%C7+%C2%F7%C0%CC%C1%A1
sms연동때 서비스업체에 보내는 정보때문이신가 보네요...요즘은 패스워드 대신에 연결사이트 주소를 기록해서 그쪽만 연동해서 다른데서 못쓰게 만들던데 이쪽은 아닌가보네요....
꽁수랄까? 값을 넘겨받는 페이지에서는 id, pass 넣지말구요 sms_ok.php라는 페이지를 만들어서 거기에는 처리만 하는 페이지로 만드는겁니다. 그럼 sms프로그램 처리후 다른페이지로 후딱 넘어가겠죠...그럼 그페이지를 열어서 다른사람들이 보는건 못할것 같은데요.
맞는 답변인가요?
꽁수랄까? 값을 넘겨받는 페이지에서는 id, pass 넣지말구요 sms_ok.php라는 페이지를 만들어서 거기에는 처리만 하는 페이지로 만드는겁니다. 그럼 sms프로그램 처리후 다른페이지로 후딱 넘어가겠죠...그럼 그페이지를 열어서 다른사람들이 보는건 못할것 같은데요.
맞는 답변인가요?
안녕하세요.. 말씀하신대로 해보았습니다..sms_ok.php 라는 페이지를 만들어서, 그페이지에는 전페이지에서
번호 메세지등등 그런것을 받으면서, sms_ok.php페이지에서는 아디와 패스를 부여해, sms 제공하는 사이트 페이지로 넘겨보았습니다만..
순간적으로라도 get방식으로 넘어가서 그러는지 후딱 넘어가긴 하지만 찰나 esc 키를
누르면..모든 정보가 주소에 보이더군요..흠냐..무튼 좀더 노력해보겠슴다..^^
번호 메세지등등 그런것을 받으면서, sms_ok.php페이지에서는 아디와 패스를 부여해, sms 제공하는 사이트 페이지로 넘겨보았습니다만..
순간적으로라도 get방식으로 넘어가서 그러는지 후딱 넘어가긴 하지만 찰나 esc 키를
누르면..모든 정보가 주소에 보이더군요..흠냐..무튼 좀더 노력해보겠슴다..^^
그건 post방식으로 넘기시면되죠...^^;;....그 짧은 순간을 esc로 잡아서 확인하시는 분들이라면 이런걸론느 해결이 안될듯 합니다.
그러나 어쩔수 없는것이 sms연동회사에서 정보를 받을때 그렇게 받는것이기 때문에 이외에 방법으로 하시려면 그 회사에 문의를 하시는 수밖에 없을듯 하네요....아니면 회사를 바꾸시던지요...ㅎㅎ
그러나 어쩔수 없는것이 sms연동회사에서 정보를 받을때 그렇게 받는것이기 때문에 이외에 방법으로 하시려면 그 회사에 문의를 하시는 수밖에 없을듯 하네요....아니면 회사를 바꾸시던지요...ㅎㅎ
이전페이지에서 내용,전번등 post방식으로 넘기고, sms_ok.php 페이지 에서는 id와 pass를 넣어 자동으로 넘어가게 하는것이기 때문에 post 방식으로 하기는 힘들었습니다.
그누의 goto_url 함수를 써서 변수들을 그냥 sms 연동회사로 넘기는것을 했었거든요.
sms_ok.php 페이지에서 자동으로 post 방식으로 바로 넘어가게 하는것은 몰라서 못햇습니다.그런게 있나
여?
그누의 goto_url 함수를 써서 변수들을 그냥 sms 연동회사로 넘기는것을 했었거든요.
sms_ok.php 페이지에서 자동으로 post 방식으로 바로 넘어가게 하는것은 몰라서 못햇습니다.그런게 있나
여?
아 꼼수중에 하나로 그누에 tail.sub.php에 보시면 display가 none인 hiddenframe이라는 iframe이 있습니다. 이런거 비슷하게나 이걸로 sms_ok.php를 처리하시면 소스를 면밀히 분석해서 쥐잡듯 하시는분이 아닌이상 보이지는 않을듯 하네요...보이지 않는 iframe에서 재빠르게 sms를 성공시킨후 iframe의 주소가 다시 원상태로 바뀔테니 그걸 캡쳐해서 볼라면 경지에 이르신 달인이시겠죠;;...이런분은 해킹해서라도 뚫고 옵니다;;
sms_ok는 단독으로 실행이 불가하게
if (!defined("_GNUBOARD_")) exit; // 개별 페이지 접근 불가
같은것을 넣으면 좋을듯 하네요..자세한건 해봐야 알듯...효효효
sms_ok는 단독으로 실행이 불가하게
if (!defined("_GNUBOARD_")) exit; // 개별 페이지 접근 불가
같은것을 넣으면 좋을듯 하네요..자세한건 해봐야 알듯...효효효
php코드에 id와 비번을 바로 넣으세요.
