오픈소스 게시판 수정증보판을 사용하는 방법...(보안관련) 오픈소스

'html을 모두 사용할 수 있는 권한' 에 있는 사용자들은 모든 html과 자바스크립트 사용이 가능해서 쿠키 전송 등 마음만 먹으면 보안 문제를 야기할 수 있기 때문에 관리자나 그룹관리자를 제외한 일반 유저들에게 'html을 모두 사용할 수 있는 권한' 을 주어서는 안됩니다. 이것만 주의하시면 됩니다. 그룹관리자도 믿을 수 없다면 절대 'html을 모두 사용할 수 있는 권한' 을 부여하지 마시기 바랍니다. 근데 여기서 한가지 더 제로보드4 수정증보판은 그룹관리자나 게시판관리자 역시 지정된 사용자가 레벨이 낮아도 자동으로 '모든 html 사용권한' 을 갖게 되니 이것도 주의하시기 바랍니다. 즉 게시판관리자든 그룹관리자든 최고관리자든 'html을 모두 사용할 수 있는 권한' 이 주어집니다.

수정증보판의 기능추가와 버그 픽스가 다 완료됐기 때문에 이렇게 보안에 관련한 사항을 알려드리면서 지금까지 버전업된 다운로드 링크를 올려드립니다. ^^;

http://bit.ly/2XGn9ON (1.0.0.0 버전)
http://bit.ly/2XKzbXm (1.0.1.36 버전)
http://bit.ly/2la6BvV (1.0.2.2 버전)
http://bit.ly/2la6PTN (1.0.3.3 버전)
http://bit.ly/2XJRmwb (1.0.4.2 버전)
http://bit.ly/2l7FotM (1.0.5.34 버전)
http://bit.ly/2XP26ty (1.0.6.6 버전)
http://bit.ly/2XKFDh8 (1.0.7.1700 버전)
http://bit.ly/2XGnscp (1.0.8.1257 버전)
http://bit.ly/2XLSKOY (1.0.9.225 버전)
http://bit.ly/2XHht6Y (1.1.0.15314 버전)
http://bit.ly/2l7FTnG (1.1.1.2252 버전)
http://bit.ly/2l9jvKB (1.1.2.307 버전)
http://bit.ly/2la7k07 (1.1.3.888 버전)
http://bit.ly/2l7GxS8 (1.1.4.343 버전)
http://bit.ly/2JJl3DQ (1.1.5.130 버전)
http://bit.ly/2JILaeg (1.1.6.3133 버전)
http://bit.ly/2JMd34T (1.1.7.50 버전)
http://bit.ly/2JHiDWf (1.1.8.242 버전)
http://bit.ly/2JKn7vc (1.1.9.277 버전)
http://bit.ly/2JKn8PM (1.2.0.2791 버전 - 최종판1)
http://bit.ly/2XLi4Vc (1.2.1.613 버전)
http://bit.ly/2XKGn5U (1.2.2.1686 버전)
http://bit.ly/2XHWIIA (1.2.3.105 버전)
http://bit.ly/2JOfFQ6 (1.2.4.729 버전 - 최종판2)
http://bit.ly/2JH278J (1.2.5.301 버전)
http://bit.ly/2lkXbOi (1.2.6.110 버전 - 최종판3)
http://bit.ly/2llVjot (1.2.7.4897 버전)
http://bit.ly/2llVuQF (1.2.8.1656 버전 - 최종판4)
http://bit.ly/2llaDSj (1.2.9.472 버전)
http://bit.ly/2lpIxp3 (1.3.0.822 버전 - 최종판5)
http://bit.ly/2lpIFF3 (1.3.1.1057 버전)
http://bit.ly/2JOg454 (1.3.2.720 버전 - 최종판6)
http://bit.ly/2JO107c (1.3.3.1044 EUC-KR 버전)
http://bit.ly/2JG6CR3 (1.3.3.1044 UTF-8 버전)
http://bit.ly/2JMnp57 (1.3.4.134 EUC-KR 버전 - 최종판7)
http://bit.ly/2l7H5Yc (1.3.4.136 UTF-8 버전 - 최종판7)
http://bit.ly/2llbNgD (1.3.5.663 EUC-KR 버전)
http://bit.ly/2JGBhxE (1.3.5.663 UTF-8 버전)
http://bit.ly/2XHltVb (1.3.6.3231.325 EUC-KR 버전 - 최종판8)
http://bit.ly/2XGpQjn (1.3.6.3231.881 UTF-8 버전 - 최종판8)
http://bit.ly/2JMdNHd (1.3.7.215 EUC-KR 버전)
http://bit.ly/2JMdRGX (1.3.7.216 UTF-8 버전)
http://bit.ly/2JHjmGX (1.3.8.188 EUC-KR 버전 - 최종판9)
http://bit.ly/2XQ1i7L (1.3.8.411 UTF-8 버전 - 최종판9)
http://bit.ly/2XLUmIw (1.3.9.118 EUC-KR 버전)
http://bit.ly/2XQ1l3r (1.3.9.118 UTF-8 버전)
http://bit.ly/2XJTNyP (1.4.0.1124 EUC-KR 버전 - 최종판10)
http://bit.ly/2XMJSc3 (1.4.0.1124 UTF-8 버전 - 최종판10)
http://bit.ly/2l7I0YE (1.4.1.1068 EUC-KR 버전)
http://bit.ly/2l9WGGE (1.4.1.1035 UTF-8 버전)
http://bit.ly/2l7GZQi (1.4.2.306 EUC-KR 버전 - 최종판11)
http://bit.ly/2l9X87O (1.4.2.326 UTF-8 버전 - 최종판11)
http://bit.ly/2l9lf6B (1.4.3.194 EUC-KR 버전)
http://bit.ly/2XKdwyp (1.4.3.217 UTF-8 버전)
http://bit.ly/2XKHkv0 (오픈소스 게시판 수정증보판 2018년 크리스마스 이브 특별 종합판[전체 배포버전])
http://bit.ly/2lj6iiv (1.4.4.1634 EUC-KR 버전)
http://bit.ly/2ljOoMx (1.4.4.1629 UTF-8 버전)

덧글

  • 희망의빛™ 2014/09/12 17:52 # 답글

    참고로 이글루스는 로그인된 쿠키를 알아내 다른 컴에서 접속하면 아이디 해킹이 이뤄지지 않는데 제 게시판은 바로 해킹이 이뤄집니다. 여기에 대한 해결방법을 조만간 찾아내 소스 패치 작업을 해줘야 할 것 같습니다. 오늘 이 글을 올리면서 그 사실을 알게 되었는데요 조금만 기다려 주시면 그걸 보완한 소스를 제공하겠습니다. 지금까지 그 이야기를 한 것이지만 다른 포탈 사이트에선 이미 패치가 된 중요한 보안 취약점을 전 여태까지 방치하고 있었네요. 오늘 또 하나의 실마리를 찾았네요. ㅡ_ㅡ;
  • 2014/09/13 10:31 # 삭제

    요약하면, 다른데선 다 알고있는걸 전 이제야 알았습니다. 제가 병신입니다. 군요. 수고하세요. 앞으로 이런게 또 얼마나 더 많이 발견될진 모르지만, 그때마다 수고해주세요. ㅎㅎ
  • ㄱㅅㄱㅅ 2014/09/15 16:52 # 삭제 답글

    왜 개발자도 그만둔 자재로 집을 짓는 집념을 보이는 걸까 이걸로 밖에 자신을 증명할 길이 없어서 그런걸까
  • 희망의빛™ 2014/09/15 20:52 #

    속도가 빠르잖아요. 물론 지금의 제로보드4 수정증보판이 예전같지 않지만요. 그래도 아직까지 매우 쓸만한 만큼 빠르다고 생각합니다.
  • ㄱㅅㄱㅅ 2014/09/16 18:46 # 삭제 답글

    어지간한 시스템 사양에선 뭐든 다 빠릅니다. 오히려 모바일에선 이 소스를 얹은 사이트가 더 느리더군요. 그건 어떠신지?
  • 희망의빛™ 2014/09/16 22:30 #

    그건 이 사이트 소스가 모바일 전용(다른 디렉토리에 담은 소스)으로 최적화 돼 있는게 아니라 PC용 사이트(게시판)의 기능을 온전히 다 사용하면서 모바일에서 제대로 보일 수 있도록 소스를 수정했기 때문이죠. 그래서 약간 무겁게 동작하는 것처럼 보이지만 기능은 왠만한 건 다 사용할 수 있죠. 제가 모바일 소스 작업을 대대적으로 하지 않았기 때문에 발생하는 현상입니다. 서로 호환되도록 약간의 추가 작업만 해주었기 때문입니다. 속도만 놓고 봤을 때도 제 베가R3 스마트폰에선 사용하는데 전혀 지장이 없더군요.
  • 희망의빛™ 2014/10/11 22:10 # 답글

    오늘 소스를 분석하다가 발견한 사실인데요 제로보드4 lib.php 파일 92행 근처에 접속자 아이피를 체크해 해킹을 방지하는 루틴이 들어있더군요. 그래서 제가 다른 아이피로 접속해 쿠키 탈취 실험을 했는데 해킹이 이뤄지지 않았습니다. 앞으로 작업의 많은 부분이 절약될 수 있을 것 같습니다. 요새 쿠키 탈취 때문에 노심초사 했는데 이런 안전장치가 돼 있었네요. 이젠 동일 아이피로 접속한 해킹을 방지하기 위한 소스 수정 작업을 해줘야 할 것 같습니다. 지금까지 매번 집에서 쿠키 탈취 실험을 했는데 동일 아이피이다 보니까 자꾸 해킹이 되는 거였습니다. 여러분들도 좀 안심이 되시나요 이제? ^^;

    하나의 공인아이피에 연결된 공유기 내에서는 같은 아이피로 체크가 되니까 그것도 참고하시구요. 무선접속 같은 경우는 보안성 없는 AP로 접속시 해킹에 의해 비번이 유출될 수 있으니 늘 주의해야 합니다. 그리고 스마트폰도 사설아이피를 부여받기 때문에 이동 중이라도 다른 유저와 같은 공인아이피(주: 아이피 체크 기준)를 사용하게 되는 상황이 발생할 수 있으니 이것도 주의하시기 바랍니다.
  • 희망의빛™ 2015/02/25 07:30 #

    보안설정이 돼 있지 않은 공유기에서 비밀번호가 유출될 수 있는 문제는 최근 배포판에서 SSL 암호화 접속이 구현됐기 때문에 해결이 되었습니다. SSL 보안서버 인증서가 설치된 웹서버에선 안전하게 사용할 수 있음을 알려드립니다. ^^; 단 동일 아이피로 접속시 쿠키 해킹은 아직 개선이 되질 못하였습니다. 이 점 참고하시기 바랍니다.
  • 희망의빛™ 2015/11/22 07:40 #

    오픈소스 게시판 수정증보판(제로보드4) 사용자가 자동로그인 사용시 다른 아이피 접속자가 쿠키를 빼돌려 특정 사용자 로그인 권한을 획득할 수 있는 보안 문제를 수정했으니 마지막 배포 버전을 서버에 패치하여 올리시기 바랍니다. 이건 지나번 배포 버전에서 오토로그인을 다시 구현하는 과정에서 생긴 버그인데 사용자의 접속 아이피를 체크해 다르면 로그인이 풀리게끔 소스를 구현했으니 보안에 많은 도움이 되실 겁니다.
  • 희망의빛™ 2014/12/12 05:58 # 답글

    apply_vote.php 와 vote.php 파일을 수정하여 동일 아이피에서 중복 투표되던 문제 수정했습니다. 원래 설문조사 투표는 apply_vote.php 를 통해 투표를 하게 돼 있는데 이게 일반 게시판 추천을 하게 돼있는 vote.php 를 통해서도 해킹이 가능하기 때문에 이번에 수정하게 되었습니다. 변경된 파일은 이곳 "오픈소스" 카테고리에 새버전으로 올려놨습니다. ^^;

    "zero_vote" 란 스킨 이름은 변경하지 마시기 바랍니다. 이름을 검출해 vote.php 를 우회하게 해 놓았으니까요.
댓글 입력 영역
* 비로그인 덧글의 IP 전체보기를 설정한 이글루입니다.


웹로그 검색