api로 게시판 목록 조회시 권한이 없어도 게시물 내용이 조회가 됩니다.

api로 게시판 목록 조회시 권한이 없어도 게시물 내용이 조회가 됩니다.

QA

api로 게시판 목록 조회시 권한이 없어도 게시물 내용이 조회가 됩니다.

본문

읽기 권한을 2이상으로 설정한 게시판의 게시물을 /api/v1/boards/board_id/writes/1 로 조회하면 

{"detail":"글을 읽을 권한이 없습니다."}
처럼 권한이 체크되서 게시물이 조회가 안되는데, /api/v1/boards/board_id/writes?page=1 처럼 목록을 조회하면 각 게시물 목록 뿐만 아니라 내용까지 모두 조회되서 wr_subject, wr_content 등을 통해 본문이 그대로 보입니다.

 

그누보드 버전은 gnuboard6.0.10 입니다.
이슈 게시판에 글을 써보려고 했더니 권한이 없다고 나오는데 권한 요청드려도 되나요?

이 질문에 댓글 쓰기 :

답변 3

목록보기 권한도 체크하셔야 할 듯 합니다.

 "목록은 비회원도 조회할수 있되 회원만 본문을 읽을 수 있게 하려는데,
목록을 조회하는 api의 결과에 본문의 내용까지 같이 넘어와서
내용이 확인이 되는 상황이에요."

 

보안취약점이 맞네요. 보안패치가 필요하겠습니다.

 

답변을 작성하시기 전에 로그인 해주세요.
전체 222
QA 내용 검색

회원로그인

(주)에스아이알소프트 / 대표:홍석명 / (06211) 서울특별시 강남구 역삼동 707-34 한신인터밸리24 서관 1404호 / E-Mail: admin@sir.kr
사업자등록번호: 217-81-36347 / 통신판매업신고번호:2014-서울강남-02098호 / 개인정보보호책임자:김민섭(minsup@sir.kr)
© SIRSOFT