[KVE-2020-1276,1546] CSRF 취약점 제보로 1:1 문의 토큰 체크 코드 추가

2021-01-04 17:47:14 +09:00
parent 83b4c80964
commit a7fa3a20fc
14 changed files with 122 additions and 4 deletions
--- a/bbs/qadelete.php
+++ b/bbs/qadelete.php
@ -4,11 +4,13 @@ include_once('./_common.php');
 if($is_guest)
    alert('회원이시라면 로그인 후 이용해 주십시오.', G5_URL);

+$token = isset($_REQUEST['token']) ? $_REQUEST['token'] : '';
+
 $delete_token = get_session('ss_qa_delete_token');
 set_session('ss_qa_delete_token', '');

-//관리자가 아닌경우에는 토큰을 검사합니다.
-if (!$is_admin && !($token && $delete_token == $token))
+//모든 회원의 토큰을 검사합니다.
+if (!($token && $delete_token === $token))
    alert('토큰 에러로 삭제 불가합니다.');

 $tmp_array = array();