포럼

발송시마다 captha 같은걸 걸던지, user_id로 발송을 시키던지 해야합니다.


현재 receiver_srl 방식은 어떤문제가있냐면요...


최근 제사이트에 테스트를해보았습니다.


열줄짜리 코드를 쓰면 한시간이면 왠만한 회원 전체한테 쪽지 다날아갑니다.


악용할우려가있어 전체코드는 다안적고싶지만,, 일단 어떤식으로 날려봤는지 보여드릴게요.


파싱을위한 http 클래스는 왠만큼 다아실거라고봅니다.


예를들면,


클래스 가져오고,타겟찍고


$url = parse_url("http://xpressengine.com");

/* 악용 우려로 생략 */


//제아이디로 로그인합니다.

//그냥 로그인이되겠죠 당연히 post로 보냈으니까.


$h->setPost("act=procMemberLogin&user_id=abcd&password=qefqwefwef");

$h->sendData();


그다음에 현재세션을 유지하면서 쪽지를돌려줍니다.


$title = urlencode("발송테스트");

$content = urlencode("잘날아가죠?");

for($i=4; $i<=1000; $i++){

$h->setPost("act=procCommunicationSendMessage&receiver_srl=$i&title=$title&content=$content");

$h->sendData();

}


xe는 전체db입력 인덱스를 sequence로 정의하고있기때문에 회원번호가 불규칙하게 띄엄띄엄 지정되어있지요.


위처럼 작성하면 for문이 4번부터 (일단 관리자한테 가겠죠?) 쭈~~~욱 잘날아갑니다. receiver_srl로 지정한 번호가 문서번호이거나, 파일번호거나, 댓글번호이거나 기타 다른번호면 그냥 그런대로 넘어가고 그다음번호로 또발송을 시도하죠.


자동발송방지 코드.. 좋긴한데 불편하니까, 우리 다른방법을 생각해봅시다.


user_id가 제생각엔 오히려 더나은듯 합니다.


구글코드 이슈에 등록하고싶었지만, 좀더많은사람들이 보셨으면해서 그냥 여기올려둡니다.


@엑스셀코드 @똥똥 // 어떻게생각하시는지요

글쓴이 제목 최종 글
짤막한글 콘텐트 위젯에 나타난 몇가지 문제점 어떻게 해결해야할까요?  
XE만세 코어 업데이트 멘붕이네요... [1] 2013.07.03 by 혼ME
말똥이 홍보용 배너 모듈? [2] 2013.07.03 by 말똥이
큰성565 혹시 생성된 게시판을 통채로 삭제해도 괜찮은가요..? [2] 2013.07.03 by 큰성565
CKEQ 1.7.3.4 버전에서 위젯 쪽 확장변수 적용이 잘 되는지 궁금합니다.  
코도치 비밀정보관련 [2] file 2013.07.02 by 코도치
sipjaga99 sub 페이지 to 도메인 연결...  
초보개발자 DB Error가 나면서 서버가 2시간마다 한번씩 다운이 됩니다. [4] 2013.07.02 by 초보개발자
달빛영혼 데이터 백업 문제입니다. ㅇ,.ㅇ 첨부파일등등 [3] 2013.07.01 by 달빛영혼
YJSoft 공사중 애드온... [12] file 2013.07.01 by 아루히
로스트(ROST) 갑자기 관리자페이지 편집.제작툴이 이상함 [2] 2013.06.30 by 로스트(ROST)
CMD Xzet 1.4.5.20 (XE 1.4.x 보안 패치) - 2013/03/10 [19] 2013.06.30 by xe매니아
짤막한글 해외 캐시 서버 구축...  
우진홈 IPGUARD 모듈 베타 - 도움이 필요합니다...^^ [9] file 2013.06.29 by 우진홈
skullacy 음... 이상하네요.. 익스에서 가상도메인이 안돼..  
Lansi XE는 돌릴만한 서버 사양이 어느 정도인가요 [5] 2013.06.28 by Lansi
쿡래빗 배너 슬라이드 직접 개발하나요? [2] 2013.06.28 by 쿡래빗
푸시아 XE와 이니시스 모바일 결제  
조인잡 여기 xe 공홈 언어가 뭘로 되있져? [2] 2013.06.27 by S야옹이
Xiso 회원 쪽지발송 대안이 필요합니다. [20] 2013.06.27 by 혼ME