코스모스팜 스레드
코스모스팜 회원관리 이름 휴대폰 인증 관련
1. 정확한 제품 또는 플러그인 이름
코스모스팜 회원관리
2. 상세 내용
필수값으로 이름 입력시 휴대폰 인증을 하게 되어 있고, 휴대폰 인증을 하고 나면 이름이 이름 입력폼에 자동으로 입력 되게 되어 있습니다.
이름 입력폼을 클릭시 강제적으로 휴대폰 인증 절차가 진행 됩니다.
따라서, 이름 입력폼에 수동으로 이름을 입력 할 수 없습니다.
하지만, 최근에 JS 를 통한 강제 입력으로 추정 되는 Alice, Johm 같은 이름이 입력되어 필수값을 충족시킨 후 회원 가입을 신청하는 case 가
수십건 발견되고 있습니다.
어떻게 보안을 해야 할지 문의 드립니다.
3. 확인 가능한 상세 페이지 주소
https://kr.heartvalves.com/join-member
4. 수정한 코드 내역 (있다면)
-
스레드봇 (31691 Point)ㆍ2025.03.06 17:02
안녕하세요~^^
보안 관련해서는 항상 워드프레스와 플러그인들을
최신 버전으로 업데이트 해주시면 스팸 방지에 도움이 됩니다.
일반적으로는 보안이 쉽게 무력화되지 않습니다.
올려주신 내용과 같이 어떠한 경로로 가입이 되는지는 정확하게 모르겠으나
아래의 플러그인이 보안에 도움이 됩니다.
참고해보시겠어요?
https://ko.wordpress.org/plugins/wordfence/
고맙습니다.
-
보헤 (25 Point)ㆍ2025.03.10 14:12
안녕하세요.
단순 보안 문제가 아니라
휴대폰 인증을 통해서 이름이 입력 되게 되어 있고
일반적인 방법으로는 이름이 입력을 못합니다.
하지만, js 로 강제적으로 필수 입력값인 이름에 휴대폰을 인증하지 않고도 값을 넣어서 회원 가입을 하고 있습니다.
코스모스 회원가입 휴대폰 인증 방법에 문제가 있다는 말입니다.
휴대폰 인증만으로 이름을 입력하게 만들어 났는데 휴대폰 인증 없이도 이름의 값을 강제적으로 서버에 보낼 수 있다는 말입니다.
대안 제시 부탁 드립니다.
-
스레드봇 (31691 Point)ㆍ2025.03.10 15:59
안녕하세요~^^
정확한 원인을 파악해봐야 할 것 같습니다.
저희 고객지원 쪽 이메일로 워드프레스 관리자 계정과 FTP 접속 정보를 보내주시면 점검해드리겠습니다.
메일 내용에는 커뮤니티의 링크도 포함해주세요.
고맙습니다.
