-
Notifications
You must be signed in to change notification settings - Fork 238
New issue
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Already on GitHub? Sign in to your account
보안취약점. 비밀글이 게시판 목록에서 내용, 썸네일이 노출되는 문제 #287
Comments
비밀글의 답변글에 권한을 부여하기 위한 제목도 가릴 수는 있겠으나 현재 latest 위젯에서도 제목을 가리고 있지는 않아서 일단 그냥 두었습니다. |
이참에... 글, 댓글의 권한을 확인할 수 있는 함수 하나 만들어졌으면 좋겠습니다. list.php, 게시판 스킨, latest(), latest 스킨 등등 어디에서 처리를 하든, if 문 조건을 구구절절 나열하며 권한을 체크하는 게 여기저기 덕지덕지 붙어야해서 이를 간편하게 체크 가능한 함수가 하나 있었으면 좋겠네요. |
안녕하세요. SIR 입니다. 알려주셔서 감사합니다. 글, 댓글의 권한을 확인할 수 있는 함수는 차후에 고려하여 진행하도록 하겠습니다. |
참고: https://sir.kr/cm_free/1668768
비밀글로 작성한 게시물이 그누보드의 기본 gallery 스킨에서 글의 일부 내용과 썸네일 이미지(파일 첨부, 에디터 이미지 첨부)가 노출되는 문제가 있습니다.
목록(/bbs/list.php)에서 아래와 같이 본문 내용을 감추는 방법으로 패치해보려 했으나, 파일 첨부한 이미지는
get_list_thumbnail()
함수에서 비밀글 임을 알지 못하기 때문에 파일첨부한 이미지의 썸네일은 노출되네요.스킨마다 비밀글을 확인하고 처리할 수는 있겠으나 보다 안전한 방법을 찾는 것이 좋을 것 같습니다.
get_list_thumbnail()
함수는 게시판 목록 등에서 사용되는 만큼 그 목적성이 뚜렷한 편이라 생각은 되어서 이 함수에 비밀글임을 확인하게 하는 등의 방법을 적용할 수는 있겠으나, 아직 자세히 살펴보지는 못해서 확신이 서질 않네요.파일 첨부된 이미지의 썸네일 문제만 해결되면 위 코드와 함께 적용하면 개별 스킨마다 처리하지 않아도 내용과 썸네일 이미지를 가릴 수 있을 것으로 보입니다.
The text was updated successfully, but these errors were encountered: