[버그]게시판목록보기 권한 정보
[버그]게시판목록보기 권한
본문
게시판 목록보기 권한이 없을경우도
임의의 글(wr_id) 값을 브라우저로 넘겨주면 마음대로 볼 수 있습니다.
예를들어 페이지보기 권한 10 글읽기권한은 2 내 권한도 2 . 이럴경우
http://홈주소/bbs/board.php?bo_table=freeboard -> 접근불가
http://홈주소/bbs/board.php?bo_table=freeboard&page=페이지번호 -> 접근불가
http://홈주소/bbs/board.php?bo_table=freeboard&wr_id=1&page=페이지번호 -> 접근가능
이런식으로 페이지번호를 1,2,3,4.......... 줌에따라 리스트를 몽땅 볼 수 있습니다.
목록보이기 권한이 자신보다 높을경우 "전체목록보이기" 설정여부에 관계없이 전체목록보기 기능이 꺼지면 좋을것 같습니다.
임의의 글(wr_id) 값을 브라우저로 넘겨주면 마음대로 볼 수 있습니다.
예를들어 페이지보기 권한 10 글읽기권한은 2 내 권한도 2 . 이럴경우
http://홈주소/bbs/board.php?bo_table=freeboard -> 접근불가
http://홈주소/bbs/board.php?bo_table=freeboard&page=페이지번호 -> 접근불가
http://홈주소/bbs/board.php?bo_table=freeboard&wr_id=1&page=페이지번호 -> 접근가능
이런식으로 페이지번호를 1,2,3,4.......... 줌에따라 리스트를 몽땅 볼 수 있습니다.
목록보이기 권한이 자신보다 높을경우 "전체목록보이기" 설정여부에 관계없이 전체목록보기 기능이 꺼지면 좋을것 같습니다.
댓글 전체
이거 중대한 보안문제이군요. 다음버전에 수정되야할텐데
board.php 의 하단에
// 전체목록보이기 사용이 "예" 또는 id 값이 없다면 목록을 보임
if ($board[bo_use_list_view] || empty($id))
위 소스를 아래와 같이 바꾸세요.
// 전체목록보이기 사용이 "예" 또는 id 값이 없다면 목록을 보임
if ($member[mb_level] >= $board[bo_list_level] && $board[bo_use_list_view] || empty($id))
// 전체목록보이기 사용이 "예" 또는 id 값이 없다면 목록을 보임
if ($board[bo_use_list_view] || empty($id))
위 소스를 아래와 같이 바꾸세요.
// 전체목록보이기 사용이 "예" 또는 id 값이 없다면 목록을 보임
if ($member[mb_level] >= $board[bo_list_level] && $board[bo_use_list_view] || empty($id))
