관리자 화면에서 다시 관리자 비번을 입력하는 기능을 모두 삭제 로그인시 관리자 환경을 세션에 저장해 놓고 CSRF 로 관리자 아이디가 뚫리더라도 다른 환경의 관리자가 들어오면 로그아웃을 시키는 기능이 이미 들어가 있음

2013-05-20 17:45:39 +09:00
parent 23977a2ed7
commit 37dd3232c9
10 changed files with 0 additions and 60 deletions
--- a/adm/auth_list.php
+++ b/adm/auth_list.php
@ -203,13 +203,6 @@ $colspan = 5;
    </tbody>
    </table>

-    <fieldset id="admin_confirm">
-        <legend>XSS 혹은 CSRF 방지</legend>
-        <p>관리자 권한을 탈취당하는 경우를 대비하여 패스워드를 다시 한번 확인합니다.</p>
-        <label for="admin_password">관리자 패스워드</label>
-        <input type="password" name="admin_password" id="admin_password" required class="required frm_input">
-    </fieldset>
-
    <div class="btn_confirm">
        <input type="submit" value="완료" class="btn_submit">
    </div>
--- a/adm/auth_update.php
+++ b/adm/auth_update.php
@ -11,10 +11,6 @@ if (!$mb['mb_id'])

 check_token();

-if ($member['mb_password'] != sql_password($_POST['admin_password'])) {
-    alert('패스워드가 다릅니다.');
-}
-
 $sql = " insert into {$g4['auth_table']}
            set mb_id   = '{$_POST['mb_id']}',
                au_menu = '{$_POST['au_menu']}',
--- a/adm/board_form.php
+++ b/adm/board_form.php
@ -1164,13 +1164,6 @@ $pg_anchor = '<ul class="anchor">
    </table>
 </section>

-<fieldset id="admin_confirm">
-    <legend>XSS 혹은 CSRF 방지</legend>
-    <p>관리자 권한을 탈취당하는 경우를 대비하여 패스워드를 다시 한번 확인합니다.</p>
-    <label for="admin_password">관리자 패스워드<strong class="sound_only">필수</strong></label>
-    <input type="password" name="admin_password" id="admin_password" required class="required frm_input">
-</fieldset>
-
 <div class="btn_confirm">
    <p>
        작성하신 내용을 제출하시려면 <strong>확인</strong> 버튼을, 작성을 취소하고 목록으로 돌아가시려면 <strong>목록</strong> 링크를 누르세요.
--- a/adm/board_form_update.php
+++ b/adm/board_form_update.php
@ -7,15 +7,6 @@ if ($w == 'u')

 auth_check($auth[$sub_menu], 'w');

-if ($_POST['admin_password']) {
-    if ($member['mb_password'] != sql_password($_POST['admin_password'])) {
-        alert('관리자 패스워드가 틀립니다.');
-    }
-} else {
-    alert('관리자 패스워드를 입력하세요.');
-}
-
-
 if (!$_POST['gr_id']) { alert('그룹 ID는 반드시 선택하세요.'); }
 if (!$bo_table) { alert('게시판 TABLE명은 반드시 입력하세요.'); }
 if (!preg_match("/^([A-Za-z0-9_]{1,20})$/", $bo_table)) { alert('게시판 TABLE명은 공백없이 영문자, 숫자, _ 만 사용 가능합니다. (20자 이내)'); }
--- a/adm/config_form.php
+++ b/adm/config_form.php
@ -727,13 +727,6 @@ $pg_anchor = '<ul class="anchor">
    </table>
 </section>

-<fieldset id="admin_confirm">
-    <legend>XSS 혹은 CSRF 방지</legend>
-    <p>관리자 권한을 탈취당하는 경우를 대비하여 패스워드를 다시 한번 확인합니다.</p>
-    <label for="admin_password">관리자 패스워드<strong class="sound_only">필수</strong></label>
-    <input type="password" name="admin_password" id="admin_password" required class="required frm_input">
-</fieldset>
-
 <div class="btn_confirm">
    <p>
        작성하신 내용을 제출하시려면 <strong>확인</strong> 버튼을, 작성을 취소하고 목록으로 돌아가시려면 <strong>목록</strong> 링크를 누르세요.
--- a/adm/config_form_update.php
+++ b/adm/config_form_update.php
@ -9,10 +9,6 @@ auth_check($auth[$sub_menu], 'w');
 if ($is_admin != 'super')
    alert('최고관리자만 접근 가능합니다.');

-if ($member['mb_password'] != sql_password($_POST['admin_password'])) {
-    alert('패스워드가 다릅니다.');
-}
-
 $mb = get_member($cf_admin);
 if (!$mb['mb_id'])
    alert('최고관리자 회원아이디가 존재하지 않습니다.');
--- a/adm/member_form.php
+++ b/adm/member_form.php
@ -295,13 +295,6 @@ include_once('./admin.head.php');

 </div>

-<fieldset id="admin_confirm">
-    <legend>XSS 혹은 CSRF 방지</legend>
-    <p>관리자 권한을 탈취 당하는 경우를 대비하여 관리자의 패스워드를 다시 한번 확인합니다.</p>
-    <label for="admin_password">관리자 패스워드<strong class="sound_only">필수</strong></label>
-    <input type="password" name="admin_password" id="admin_password" required class="required frm_input">
-</fieldset>
-
 <div class="btn_confirm">
    <p>
        작성하신 내용을 제출하시려면 <strong>확인</strong> 버튼을, 작성을 취소하고 목록으로 돌아가시려면 <strong>목록</strong> 링크를 누르세요.
--- a/adm/member_form_update.php
+++ b/adm/member_form_update.php
@ -10,10 +10,6 @@ auth_check($auth[$sub_menu], 'w');

 check_token();

-if ($member['mb_password'] != sql_password($_POST['admin_password'])) {
-    alert('패스워드가 다릅니다.');
-}
-
 $mb_id = escape_trim($_POST['mb_id']);

 // 휴대폰번호 체크
--- a/adm/point_list.php
+++ b/adm/point_list.php
@ -207,13 +207,6 @@ function point_clear()
    </tbody>
    </table>

-    <fieldset id="admin_confirm">
-        <legend>XSS 혹은 CSRF 방지</legend>
-        <p>관리자 권한을 탈취당하는 경우를 대비하여 패스워드를 다시 한번 확인합니다.</p>
-        <label for="admin_password">관리자패스워드<strong class="sound_only">필수</strong></label>
-        <input type="password" name="admin_password" id="admin_password" required class="required frm_input">
-    </fieldset>
-
    <div class="btn_confirm">
        <input type="submit" value="확인" class="btn_submit">
    </div>
--- a/adm/point_update.php
+++ b/adm/point_update.php
@ -6,10 +6,6 @@ auth_check($auth[$sub_menu], 'w');

 check_token();

-if ($member['mb_password'] != sql_password($_POST['admin_password'])) {
-    alert('패스워드가 다릅니다.');
-}
-
 $mb_id = $_POST['mb_id'];
 $po_point = $_POST['po_point'];
 $po_content = $_POST['po_content'];