기아체험 온라인 교육 이수 페이지 똥보안

Posted at 2012. 8. 16. 07:44 | Posted in 잡담

http://famine24.net/include/e-learning.asp

문제의 페이지입니다.


기아체험 온라인 교육을 하는 페이지입니다.

플래시로 교육을 하고 플래시 영상이 끝날 때 플래시에서 웹 페이지로 자바스크립트를 호출하죠.

저는 기본 10분 이상이 소요되는 이 교육을 5초만에 끝낼 수 있는 상당한 보안 취약점을 발견하였습니다.



각 브라우저에서 개발자 도구(IE: F12; Chrome: F12; etc...)를 띄웁니다.

몇 줄 되지않는 소스에서 교육 이수 완료를 처리하는 자바스크립트 함수를 찾습니다.(comProc())

개발자 도구의 콘솔에 comProc();를 입력합니다.

교육 이수가 완료되었습니다.
(그림으로 보여드리면 다음과 같습니다. 함수가 적나라하게 보여서 정말 찾기 쉬웠습니다.)






어떻게 생각하시나요?

영상 제작자 분은 정말 힘들게 작업하며 10분 이상의 영상을 완성하였을 터인데, 웹 페이지 제작자 분 덕분에 5초만에 영상을 보지않고 교육을 이수할 수 있습니다.

하루빨리 담당자 분께 말씀드려서 이 문제를 해결하였으면 좋겠네요..



항상 수고하십니다.

이 내용의 메일을 8월 1일에 전송하였으나, 8월 16일인 현재까지도 방치를 하고 있는 기아체험 온라인 교육 이수 개발자에게..
소스 숨기는게 귀찮으면 플래시에서 보안키를 같이 전송하는 방식으로라도 바꾸지 그러세요

  1. 확인한듯합니다.
    2012.09.05 09:33
    안되네요...
  2. 2012.10.04 20:45
    비밀댓글입니다
    • 2012.10.05 01:29 신고 [수정/삭제]
      뭘 수정하신다는지 모르겠지만 라이브 수정은 가능합니다. 저장이 안되지요.
      호스팅 받은 서버를 꾸미고 싶다 하시면 해당 호스팅 업체의 도움말을 참고하세요.

댓글 달기

Name __

Password __

Link (Your Website)

Comment