세션고정취약점(버그게시판 글번호12095) 수정

bbs/login_check.php

@@ -64,6 +64,8 @@ run_event('login_session_before', $mb, $is_social_login);
 set_session('ss_mb_id', $mb['mb_id']);
 // FLASH XSS 공격에 대응하기 위하여 회원의 고유키를 생성해 놓는다. 관리자에서 검사함 - 110106
 set_session('ss_mb_key', md5($mb['mb_datetime'] . get_real_client_ip() . $_SERVER['HTTP_USER_AGENT']));
+// 회원의 토큰키를 세션에 저장한다. /common.php 에서 해당 회원의 토큰값을 검사한다.
+if(function_exists('update_auth_session_token')) update_auth_session_token($mb['mb_datetime']);
 
 // 포인트 체크
 if($config['cf_use_point']) {

bbs/register_form_update.php

@@ -303,8 +303,10 @@ if ($w == '') {
     }
 
     // 메일인증 사용하지 않는 경우에만 로그인
-    if (!$config['cf_use_email_certify'])
+    if (!$config['cf_use_email_certify']) {
         set_session('ss_mb_id', $mb_id);
+        if(function_exists('update_auth_session_token')) update_auth_session_token(G5_TIME_YMDHIS);
+    }
 
     set_session('ss_mb_reg', $mb_id);