쓰기포인트를 무시하고 스팸글 도배, 회원가입시 SMS 인증 무시하는 악성 유저를 발견했습니다.
본문
회원가입시, 실명인증은 아니고 단순 SMS로 인증번호를 체크하는 과정이 들어가 있는데, 이를 무시하고 가입을 하는 유저가 발견되었습니다.
회원가입시 인증번호 체크는 register_form_update.skin.php 에서 하는데, DB 내역 체크 등으로 꽤나 철저하게 과정이 들어가있습니다만 이를 뚫고 회원가입을 했습니다.
여기까지는 뭐 인증번호 체크의 어딘가가 허점이 있어서 뚫렸다고 칩니다.
(근데 소스를 아무리 살펴봐도 딱히 허점은 없습니다)
회원가입 후 이 유저는 쓰기포인트를 -100으로 설정해놓은 게시판에서, 포인트가 없는데도 불구하고 수백개가 넘는 홍보글을 도배했습니다.
커뮤니티 자동홍보 프로그램을 판매한다고 불법 프로그램 홍보글을 도배해놓았더군요..
그리고선 유유히 회원탈퇴를 했습니다.
개인적으로 이리저리 테스트를 해봤지만 write.php 파일의 보유포인트 체크에 걸려서 포인트가 부족하면 글쓰기를 할 수가 없었습니다. 이걸 무시하고 글쓰기를 했다고 봐야겠지요.
그래서 일단 write_update.php 파일에도 보유포인트 체크 소스를 넣어두긴 했습니다만..
그누보드에 무언가 허점이 있는걸까요?
그누보드 버전은 5.5.8.3 입니다.
5.5.8.3.1 버전이 나왔는데 업데이트를 한다고 해결이 될 것 같지는 않네요..
답변 2
일단 악성파일이 없는지 한번 체크해보셔야 할거 같습니다.
순정 파일기준으로는 악성 파일이 아닌 이상은 불가능합니다.
해당 토큰자체를 추적하는게 불가하기 때문에...
그리고 write.php 내에서만 채크하는게 아닌
보유 포인트는 write.update.php 에서 채크를 합니다.
write.update.php 파일이 write_update.php 파일을 말씀하시는건가요?
제가 확인했을 때는 write_update.php 파일에는 보유 포인트 체크가 없는 것 같습니다.
그래서 write.php 파일을 거치지 않고 바로 write_update.php 로 접근하여 글쓰기 도배를 한 것이 아닌가 의심이 들었고, 따로 write_update.php 파일에 포인트 체크 소스를 넣어두었습니다만..
혹시 말씀하신
"그리고 write.php 내에서만 채크하는게 아닌
보유 포인트는 write.update.php 에서 채크를 합니다."
부분이 정확히 어느 부분인지 알려주시면 감사하겠습니다.
