세션고정취약점(버그게시판 글번호12095) 수정

2022-05-24 15:29:27 +09:00
parent 0a9f580c5b
commit da2b6dafb3
6 changed files with 28 additions and 4 deletions
--- a/bbs/login_check.php
+++ b/bbs/login_check.php
@ -64,6 +64,8 @@ run_event('login_session_before', $mb, $is_social_login);
 set_session('ss_mb_id', $mb['mb_id']);
 // FLASH XSS 공격에 대응하기 위하여 회원의 고유키를 생성해 놓는다. 관리자에서 검사함 - 110106
 set_session('ss_mb_key', md5($mb['mb_datetime'] . get_real_client_ip() . $_SERVER['HTTP_USER_AGENT']));
+// 회원의 토큰키를 세션에 저장한다. /common.php 에서 해당 회원의 토큰값을 검사한다.
+if(function_exists('update_auth_session_token')) update_auth_session_token($mb['mb_datetime']);

 // 포인트 체크
 if($config['cf_use_point']) {