기아체험 온라인 교육 이수 페이지 똥보안

Posted at 2012.08.16 07:44 | Posted in 잡담

http://famine24.net/include/e-learning.asp

문제의 페이지입니다.


기아체험 온라인 교육을 하는 페이지입니다.

플래시로 교육을 하고 플래시 영상이 끝날 때 플래시에서 웹 페이지로 자바스크립트를 호출하죠.

저는 기본 10분 이상이 소요되는 이 교육을 5초만에 끝낼 수 있는 상당한 보안 취약점을 발견하였습니다.



각 브라우저에서 개발자 도구(IE: F12; Chrome: F12; etc...)를 띄웁니다.

몇 줄 되지않는 소스에서 교육 이수 완료를 처리하는 자바스크립트 함수를 찾습니다.(comProc())

개발자 도구의 콘솔에 comProc();를 입력합니다.

교육 이수가 완료되었습니다.
(그림으로 보여드리면 다음과 같습니다. 함수가 적나라하게 보여서 정말 찾기 쉬웠습니다.)






어떻게 생각하시나요?

영상 제작자 분은 정말 힘들게 작업하며 10분 이상의 영상을 완성하였을 터인데, 웹 페이지 제작자 분 덕분에 5초만에 영상을 보지않고 교육을 이수할 수 있습니다.

하루빨리 담당자 분께 말씀드려서 이 문제를 해결하였으면 좋겠네요..



항상 수고하십니다.

이 내용의 메일을 8월 1일에 전송하였으나, 8월 16일인 현재까지도 방치를 하고 있는 기아체험 온라인 교육 이수 개발자에게..
소스 숨기는게 귀찮으면 플래시에서 보안키를 같이 전송하는 방식으로라도 바꾸지 그러세요

저작자 표시 비영리
신고
  1. 확인한듯합니다.
    안되네요...
  2. 비밀댓글입니다
    • 2012.10.05 01:29 신고 [Edit/Del]
      뭘 수정하신다는지 모르겠지만 라이브 수정은 가능합니다. 저장이 안되지요.
      호스팅 받은 서버를 꾸미고 싶다 하시면 해당 호스팅 업체의 도움말을 참고하세요.

Name __

Password __

Link (Your Website)

Comment