http://==>https:// 교체하고나선 관리자접속하면 로그인이 자꾸풀려요

http://==>https:// 교체하고나선 관리자접속하면 로그인이 자꾸풀려요

QA

http://==>https:// 교체하고나선 관리자접속하면 로그인이 자꾸풀려요

본문

http://==>https:// 교체하고나선 관리자접속하면 로그인이 자꾸풀려요

세션이 보드게시판에 수정삭제 이런건 문제없는데

adm/ 으로들어가면

"관리자 정상적으로 로그인하여 접근하시기 바랍니다"

라고 뜨면서 로그인이 풀립니다

 

다른 회원들게시판  수정삭제는 잘되는데요

adm/ 폴더 밑의 관리자 영역으로 나가면 로그인이 풀립니다

 

무엇이 문제인걸까요?

 

참고로 세션은 memcached를 이용하고 http:// 로사용할떈 아무문제없었고요

https://로 바꾸고나서 로그인은되도 관리자 adm/ 폴더밑의 관리자영역들어가면 세션이 풀립니다

이 질문에 댓글 쓰기 :

답변 4

g5버전이 뭔가요?

bbs/login_check.php

set_session('ss_mb_key'md5($mb['mb_datetime']~~ <==뒷부분

 

admin.lib.php

$admin_key = md5($member['mb_datetime']~~ <==뒷부분

 

두 화일의 뒷부분 코드가 같은지 비교해보세요

두 화일이 원본 화일이 아닌 것 같은데....

 

 

 

로그인이 풀린다는 것이 바로 저 부분 값이 다르면 세션을 삭제하게 되어있으니 그렇습니다
뒷부분이 같나요?
최신버젼은 아래와 같이 되어있습니다
md5($member['mb_datetime'] . get_real_client_ip() . $_SERVER['HTTP_USER_AGENT']);

confing.php 에보면 도메인 등록하라고 https 관련된거 주석 보일거에요

거기다가 올려주세요

현재

일단 임의적으로 adm/admin.lib.php  의 밑부분을 주석처리 하면

관리자에서 로그인 해제되지않고 문제없이 씁니다

그런데 그럼 보안이 취약하니깐요 ㅜㅜ
저같은경우
무엇이 문제인건가요?

============밑부분을 주석 처리하면 잘됨=========

// 관리자의 아이피, 브라우저와 다르다면 세션을 끊고 관리자에게 메일을 보낸다.
$admin_key = md5($member['mb_datetime'] . $_SERVER['REMOTE_ADDR'] . $_SERVER['HTTP_USER_AGENT']);
if (get_session('ss_mb_key') !== $admin_key) {

    session_destroy();

    include_once(G5_LIB_PATH.'/mailer.lib.php');
    // 메일 알림
    mailer($member['mb_nick'], $member['mb_email'], $member['mb_email'], 'XSS 공격 알림', $_SERVER['REMOTE_ADDR'].' 아이피로 XSS 공격이 있었습니다.\n\n관리자 권한을 탈취하려는 접근이므로 주의하시기 바랍니다.\n\n해당 아이피는 차단하시고 의심되는 게시물이 있는지 확인하시기 바랍니다.\n\n'.G5_URL, 0);

    alert_close('정상적으로 로그인하여 접근하시기 바랍니다.');
}

리오닥터님현재 게시판 로그인은 잘되요 회원들도 모두 로그인해서 다 글쓰기 수정삭제 다 잘되고요 //리오닥터님 의심하는거라면 전체가 처음부터 다 로그인안되야하는건데  회원들은다잘되고 지금 저의 문제는 adm/ 계정만 들어가면  정상적으로 로그인하여 접근하시기 바랍니다"라면서 세샌이 로그인이 풀린다는거란거죠

도메인 설정이요

config.php

define('G5_COOKIE_DOMAIN',  '');

백업 후 https 도메인이 할당된 상태에서 그누보드를 설치해보세요. 이상없이 작동하면 어딘가 잘못 수정하셔서 그런것입니다.

답변을 작성하시기 전에 로그인 해주세요.
전체 123,166 | RSS
QA 내용 검색

회원로그인

(주)에스아이알소프트 / 대표:홍석명 / (06211) 서울특별시 강남구 역삼동 707-34 한신인터밸리24 서관 1404호 / E-Mail: admin@sir.kr
사업자등록번호: 217-81-36347 / 통신판매업신고번호:2014-서울강남-02098호 / 개인정보보호책임자:김민섭(minsup@sir.kr)
© SIRSOFT