- 제 목 게시판 취약점 관련 요청드립니다.
- 작성자 image 등록일 2023-02-01/16:45 조회수 378
안녕하세요. 작년부터 조은보드로 게시판 운영 편하게 하고 있습니다.
작년에 게시판 구성하면서 문의드린 것들 친절하게 답변주셔서 문제 없이 쓰고 있는데요.
저희 홈페이지가 취약점 점검을 받게 되면서 일부 조치사항들이 발생하여 어떻게 하면 될지 문의드립니다.
1. 게시물 임의 접근 및 작성 가능
비회원도 글을 쓸 수 있는 자유게시판과 운영자만 글을 쓸 수 있는 공지사항 게시판을 운영하고 있는데요.
자유게시판에 글을 쓸 때 요청을 변조하여 $ji_num 값을 자유게시판(5)에서 공지사항(1)로 변경하면 임의로 공지사항 게시판에 게시가 된다고 합니다.
Burp Suite 라는 프로그램으로 변조를 하는 것 같은데, 어떻게 하면 이를 막을 수 있을까요?
2. 쿠키 변조를 통해 비공개 게시물 임의 열람 가능
특정 게시판의 비공개 게시물에 대해 글의 번호(idx)를 획득하고, [secret] 쿠키 값에 {$jb_idx}= {$jb_idx}%7C0000{$jb_sort} 를 입력하면 해당 비밀글이 열람되는 부분을 확인하였습니다.
조치 방법은 사용자 식별에 사용되는 값은 클라이언트가 아닌 서버에서 관하여 인증 전 또는 인증 후 다른 사용자 권한에 대한 접근을 통제
해야된다고 하는데
도움을 받을 수 있을지요?
제작팁 - 조은보드 보안성 높이기 게시글의 1~4까지는 조치한 상태인데, 5번 WebKnight 설치를 하면 해결이 될까요?
적절한 해결 방안이 있으면 좋겠습니다.
감사합니다.