안녕하세요^^!
Kboard에서 타인의 댓글을 수정, 삭제를 할 수 있어서
문의드립니다.
스킨은 default 스킨을 사용중입니다.
댓글에서 삭제나 수정 버튼 클릭시 팝업창 뜰때
강제로 아래 명령어를 서버에게 주면
URL/?action_comment_delete&uid=
URL/?action_comment_update&uid=
타인의 댓글이 수정, 삭제됩니다.
테스트는 프록시 서버를 로컬로 설정하고
버프수트 툴을 사용해서 단계별로 값을 변경하면서 진행해보았습니다.
게시판과 댓글의 읽기 ,쓰기권한은 로그인한 일반 사용자로 지정해두었습니다.
감사합니다.
안녕하세요~^^
올려주신 주소 형식을 강제로 아래 명령어를 서버에게 주면
KBoard 댓글 플러그인 쪽의 코드가 실행되는지요?
URL/?action_comment_delete&uid=
URL/?action_comment_update&uid=
KBoard 댓글 플러그인에서 댓글 삭제, 수정 권한이 있는 사용자가
아래의 URL로 요청을 할 때 실제로 댓글 삭제 및 수정이 가능하며
주소에 직접 입력할 경우 삭제, 수정할 수 없도록 되어 있습니다.
URL/?action=kboard_comment_delete&uid=댓글uid
URL/?action=kboard_comment_update&uid=댓글uid
올려주신 주소 형식에서 action_comment_delete과 action_comment_update은
실제 테스트한 주소를 맞게 올려주신 건지요?
uid에는 실제 댓글 uid를 적용해서 테스트해보신 건지요?
보안 관련 문제는 지속적으로 저희도 내부적으로 테스트한 후
문제가 있다면 개선해서 업데이트하도록 하겠습니다.
고맙습니다.
사용 중이신 KBoard 플러그인의 버전은 어떻게 되시는지요?
만약, 최신 버전이 아니라면 최신 버전으로 업데이트 부탁드립니다.
현재 공식적인 KBoard 게시판 플러그인의 최신 버전은 5.4.2 버전이며
댓글 플러그인의 최신 버전은 4.5 입니다.
업데이트 방법은 아래의 링크를 참고해보시겠어요?
고맙습니다.
좀 더 자세한 자료가 있다면 저희 고객지원 쪽 이메일로 보내주실 수 있을까요?
고맙습니다.