제로보드4 게시판에 아이피를 체크해 해킹을 방지하는 루틴이 들어있더군요. 블록

오늘 소스를 분석하다가 발견한 사실인데요 제로보드4 lib.php 파일 92행 근처에 아래와 같이 접속자 아이피를 체크해 해킹을 방지하는 루틴이 들어있더군요. 그래서 제가 다른 아이피로 접속해 쿠키 탈취 실험을 했는데 해킹이 이뤄지지 않았습니다. 앞으로 작업의 많은 부분이 절약될 수 있을 것 같습니다. 하하 요새 쿠키 탈취 때문에 노심초사 했는데 이런 안전장치가 돼 있었네요. 이젠 동일 아이피로 접속한 해킹을 방지하기 위한 소스 수정 작업을 해줘야 할 것 같습니다. 근데 자꾸 작업이 더뎌지네요. 요새 휴식을 계속 취하고 있는데 자꾸 게을러지고 있는것 같아 걱정입니다. 매번 집에서 쿠키 탈취 실험을 했는데 동일 아이피이다 보니까 자꾸 해킹이 되는 거였습니다. 여러분들도 좀 안심이 되시죠? 이제... ㅋㅋ

하나의 공인아이피에 연결된 공유기 내에서는 같은 아이피로 체크가 되니까 그것도 참고하시구요. 무선접속 같은 경우는 보안성 없는 AP로 접속시 해킹에 의해 비번이 유출될 수 있으니 늘 주의해야 합니다. 그리고 스마트폰도 사설아이피를 부여받기 때문에 이동 중이라도 다른 유저와 같은 공인아이피(주: 아이피 체크 기준)를 사용하게 되는 상황이 발생할 수 있으니 이것도 주의하시기 바랍니다.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
<?php
    // 자동 로그인일때 제대로 된 자동 로그인인지 체크하는 부분
    unset($autoLoginData);
    $autoLoginData = getZBSessionID();
    if($autoLoginData[no]) {
        $zb_logged_no=$autoLoginData[no];
        $zb_logged_ip=$_SERVER['REMOTE_ADDR'];
        $zb_logged_time=time();
        session_register("zb_logged_no");
        session_register("zb_logged_ip");
        session_register("zb_logged_time");
        $HTTP_SESSION_VARS["zb_logged_no"] = $zb_logged_no;
 
    // 세션 값을 체크하여 로그인을 처리
    } elseif($HTTP_SESSION_VARS["zb_logged_no"]) {
 
        // 로그인 시간이 지정된 시간을 넘었거나 로그인 아이피가 현재 사용자의 아이피와 다를 경우 로그아웃 시킴
        if(time()-$HTTP_SESSION_VARS["zb_logged_time"]>$_zbDefaultSetup["login_time"]||$HTTP_SESSION_VARS["zb_logged_ip"]!=$_SERVER['REMOTE_ADDR']) {
 
            $zb_logged_no="";
            $zb_logged_time="";
            $zb_logged_ip="";
            session_register("zb_logged_no");
            session_register("zb_logged_ip");
            session_register("zb_logged_time");
            session_destroy();
 
        // 유효할 경우 로그인 시간을 다시 설정
        } else {
            // 4.0x 용 세션 처리
            $zb_logged_time=time();
            session_register("zb_logged_time");
        }
 
    } 
?>

덧글

  • ... 2014/09/26 09:33 # 삭제 답글

    하다 하다 이젠 원래 어떤 기능이 있는지도 모르고 지금까지 뜯어고친다고 난리폈다는 이야기구만. 한마디 한마디가 전부 자기 무식뽐내는 말들 뿐이라니..... 할 말도 없다..
  • 희망의빛™ 2014/09/26 10:57 #

    그래도 완벽한 보안처리가 계속 진행중이랍니다. 나중에 보면 알게 됩니다. ㅎㅎ
  • ... 2014/09/26 13:03 # 삭제

    나중에 보긴 뭘봐. 내가 왜 아까운 시간들여서 쓸모없는 게시판 잘되나 실험해봐야 하는건데? 댁이 잘하는 그 로그분석으로 당신 게시판파일 대체 몇명이나 받아가는지 확인이나 해보시죠? 아무도 안 받아간다는데 500원 건다. 또 모르지, 혹시 구글 봇이나 긁어갔을런지.
  • 2014/09/26 11:06 # 삭제 답글

    어디가서 제발 프로그래머다, 프로그램 개발자다 이딴 소리 안 하길 진심으로 빕니다.
    아니, 기존 코드 수정/개량까지는 좋게 본다 치는데(물론 저작권 있는 소스 멋대로 오픈소스 이름 붙여가면서 난리치는게 곱게 보이는건 아니긴 한데...) 기본적으로 뭔가 기능 수정/추가 하기 전에 기존 코드에 내장되어 있는지의 유무를 따지고, 따진 이후에 순차적으로 진행하는게 순리인데 이건 뭐 개념도 없고... 기존 코드 분석도 제대로 안 하고 진행했다고 스스로 자폭 인증이군요. 그걸 또 자랑이라고 올려대고...

    ......진짜 현업 개발자 입장에서 비웃음밖에 안 나오니까 제발 밖에서 프로그래머라고 자칭하고 다니시질 않기를 -_-
  • PFN 2014/09/26 12:53 #

    어디 가서 프로그래머라고 소개라도 할 사람이 없어 보임
  • Polar Ice 2014/09/26 21:06 # 답글

    잡것까지 다 밸리 발행 하면서 인기글도 조작하세요?
    발행만하면 인기글 이던데 (코멘트 하나 없는 글도) 제발 어디 쳐박혀서 안보였으면 좋겠네요~
    남들이 제발제발 하지말아달라고 하면 꼭 하는 사람이 있던데 개발자가 하지말아달라고 하면 하지맙시다 좀
  • 과객 2014/09/26 23:01 # 삭제 답글

    이분 운영하시는 사이트에 본인이 올리신 글을 보시면 아시겠지만 몸이 불편하신 적이 있으십니다. 과도한 표현의 댓글은 우리가 조심해서 사용하는 것은 어떨런지요
  • 다져써스피릿 2014/09/27 07:39 #

    http://i.imgur.com/X8GLy5C.png

    딴사람인척 하시려면 좀더 제대로 하시길...........
  • 희망의빛™ 2014/09/27 10:07 #

    제가 올린거 아닌데 과객님이 제 사이트를 홍보해 주셨군요. 고맙습니다. ㅋㅋ
  • 과객 2014/09/27 12:54 # 삭제 답글

    홈페이지에 본문 주소가 링크가 안되서 주소란에 쓴건데 오해를 사게 했군요;; 쥔장을 그닥 좋아하지 않습니다만 치유병력이 있으셔서 몇글자 적었습니다;;
  • 희망의빛™ 2014/09/27 13:29 #

    암튼 따뜻한 말씀에 감사드립니다. ^^;
댓글 입력 영역
* 비로그인 덧글의 IP 전체보기를 설정한 이글루입니다.


웹로그 검색