로그인이 풀려버리네요.
본문
일단 phps.kr 서버로 제작중에있습니다. 정식도메인은 아직 없는상태고요.
예전에 cafe24.com도메인으로 제작했던 사이트에서 비슷한 현상으로 로그인이 풀려버리는 현상이일어났었는데
그때는 xss공격의심된다며 메일이 계속들어오더라구요. 관리자에서 팝업창으로 메뉴들을 띄었는데 그문제인지 아니면,
검색에서 나오는 config.php에 G5_COOKIE_DOMAIN 에 도메인 설정부분인가요?? 아 그리고 도메인 3개를 쓰고있는데 이럴경우는 G5_COOKIE_DOMAIN을 어찌 설정해야될까요....
------------------------------------------------------------------------------
질문이 좀 길게 되버렸네요.
오류 발생 흐름만 간단히 말씀드리자면 이렇습니다.
최고관리자 로그인 -> 쇼핑카트에서 주문을 하고 난후 상단 관리자 버튼을 누르면 로그인이 풀려버리네요.
답변 1
도메인이 3개면 현재 어떤 도메인으로 들어왔는지를 확인해서 조건문으로 해당도메인별 쿠키도메인을 다르게 설정하게끔 하시면 됩니다
버튼에서 로그인이 풀리는 부분은 버튼을 누르지 않고
url을 직접입력해도 같은 상황인지를 먼저 확인하셔야 할듯합니다
즉 최고관리자 로그인 -> 쇼핑카트에서 주문을 하고 난후 상단 관리자 버튼을 누르지 않고 관리자 url을 직접입력해서 이동 했을 시도 같은 현상인지를 먼저 보셔야 할것 같습니다
서프라이즈~^^; 그런 방법이 있었네요. 도메인부분은 해결을 볼수있을거같은데, 로그인 풀리는부분은 아직도 미지수네요. 크롬에서 심하게 발생하는데... 말씀하신대로 테스트결과 이번에는 둘다 로그인이 안풀리네요;;
그렇다면 원래 사용하는 관리자버튼은 나두고 맨앞쪽에 <a href="/adm">관리자</a> 요런식으로 새로 만들어서 확인 한번 해보세요
새로고침만으로도 로그인이 풀려버리네요. 크롬이 자주 발생해서 크롬으로 테스트중이긴한데.. 크롬특성을 타는걸까요..?
크롬 요소검사에서 네트워크 부분에 쿠키들을 체크해보시기도 해야할것 같고 각 파일들의 include부분도 확인하셔야 할듯 하네요
딱히 어디라고 하기가 그렇네요
답변감사드립니다. 이리저리 살펴본결과 예전에 문제됐던 xss공격 체크 구문에서 걸리네요. ss_mb_key값이랑 admin_key값을 alert시켜보니 다르게 출력되네요.. ㅋ
노가다 끝에 어느정도 접근했네요. ss_mb_key생성시 사용했던 remote_addr이 바껴버리네요 ip주소로 알고있는데 ip주소가 재부팅도 없이 바뀔수가 있나요.. ㅋ
echo "이전 ---".md5($_SERVER['SERVER_ADDR'] ."~~". $_SERVER['REMOTE_ADDR'] ."~~". $_SERVER['HTTP_USER_AGENT'];
set_session('ss_mb_key'~~~~~);
echo "다음 ---".md5($_SERVER['SERVER_ADDR'] ."~~". $_SERVER['REMOTE_ADDR'] ."~~". $_SERVER['HTTP_USER_AGENT'];
이런식으로 만들기 전과 만든후 각각의 값을 비교해보세요