커맨드 인젝션 취약점(16-164, 16-165) 수정

2016-02-22 11:12:58 +09:00
parent a14689f66b
commit 569dfb5502
2 changed files with 10 additions and 2 deletions
--- a/plugin/okname/hpcert.config.php
+++ b/plugin/okname/hpcert.config.php
@ -25,7 +25,14 @@ $mbphnNo = 'x';                                     // 휴대폰번호 (고정
 $svcTxSeqno = get_uniqid();                         // 거래번호. 동일문자열을 두번 사용할 수 없음. ( 20자리의 문자열. 0-9,A-Z,a-z 사용.)

 $clientIp = $_SERVER['SERVER_ADDR'];                // 회원사 IP,   $_SERVER["SERVER_ADDR"] 사용가능.
-$clientDomain = $_SERVER['HTTP_HOST'];              // 회원사 도메인, $_SERVER["HTTP_HOST"] 사용가능.
+//$clientDomain = $_SERVER['HTTP_HOST'];              // 회원사 도메인, $_SERVER["HTTP_HOST"] 사용가능.
+$p = @parse_url($_SERVER['HTTP_HOST']);
+if(isset($p['host']) && $p['host'])
+    $clientDomain = $p['host'];
+else
+    $clientDomain = $_SERVER['SERVER_NAME'];
+unset($p);
+

 $rsv1 = '0';                                        // 예약 항목
 $rsv2 = '0';                                        // 예약 항목
--- a/plugin/okname/hpcert2.php
+++ b/plugin/okname/hpcert2.php
@ -9,7 +9,8 @@ include_once('./hpcert.config.php');
 **************************************************************************/

 /* 공통 리턴 항목 */
-$idcfMbrComCd           =   $_POST['idcf_mbr_com_cd'];      // 고객사코드
+//$idcfMbrComCd           =   $_POST['idcf_mbr_com_cd'];      // 고객사코드
+$idcfMbrComCd           =   $memId;
 $hsCertSvcTxSeqno       =   $_POST['hs_cert_svc_tx_seqno']; // 거래번호
 $rqstSiteNm             =   $_POST['rqst_site_nm'];         // 접속도메인
 $hsCertRqstCausCd       =   $_POST['hs_cert_rqst_caus_cd']; // 인증요청사유코드 2byte  (00:회원가입, 01:성인인증, 02:회원정보수정, 03:비밀번호찾기, 04:상품구매, 99:기타)