Tip & Tech

활용팁

홈 > 회원포럼 > 활용팁
활용팁

업데이트후에 관리자 접속이 안되는 경우

7 카카롯 9 496 0 0

업데이트 후에 관리자 접속시 


"정상적으로 로그인하여 접근하시기 바랍니다." 


라고 메시지가 나오신다면


/adm/admin.lib.php 파일을 수정해야 합니다.


이번에 업데이트 되면서 이 파일이 수정되었네요.


저 처럼 로그인 할때 리모트IP가 바뀌는 경우에도 로그인을 유지할 수 있도록 하기 위해서

그리고 오래 로그인이 풀리지 않기 위해서 조금 수정해 놓은게 있는데요.

/bbs/login_check.php


혹시 비슷한 작업을 하신 분이라면 위 파일내에 관련 부분 수정해 주셔야 합니다. 


이거 몰라서 헤멧네요. ^^



저장용으로 남겨 둔건데 팁으로 옮겨져서 조금 자세히 적습니다.


-----

아이피가 바뀔때 로그인이 끊어지는것을 방지 하기 위해 $_SERVER['REMOTE_ADDR']를 키값 생성시 활용하지 않도록 했습니다.

휴대폰의 경우 기지국이 바뀌면 로그인이 끊어지더라구요. 와이파이에서 3G나 4G로 바뀔때도 그렇구요. 

이게 모바일에서 자꾸 문제가 되어서 적용했습니다.


로그인 체크 할때 (/bbs/login_check.php)


// FLASH XSS 공격에 대응하기 위하여 회원의 고유키를 생성해 놓는다. 관리자에서 검사함 - 110106

set_session('ss_mb_key', md5($mb['mb_datetime'] . $_SERVER['HTTP_USER_AGENT']));


// 3.26

// 아이디 쿠키에 한달간 저장

if ($auto_login) {

    // 3.27

    // 자동로그인 ---------------------------

    // 쿠키 한달간 저장

    $key = md5($_SERVER['SERVER_ADDR'] . $_SERVER['HTTP_USER_AGENT'] . $mb['mb_password']);

    set_cookie('ck_mb_id', $mb['mb_id'], 86400 * 31);

    set_cookie('ck_auto', $key, 86400 * 31);

    // 자동로그인 end ---------------------------

} else {

    set_cookie('ck_mb_id', '', 0);

    set_cookie('ck_auto', '', 0);

}


위 부분의 Key 값을 수정했습니다. 


관리자 라이브러리 파일 (/adm/admin.lib.php) 에서  키값을 확인할때 이 부분이 다르면 XSS공격으로 인식하게 됩니다.


// 관리자의 아이피, 브라우저와 다르다면 세션을 끊고 관리자에게 메일을 보낸다.

$admin_key = md5($member['mb_datetime'] . $_SERVER['HTTP_USER_AGENT']);

if (get_session('ss_mb_key') !== $admin_key) {


    session_destroy();


    include_once(G5_LIB_PATH.'/mailer.lib.php');

    // 메일 알림

    mailer($member['mb_nick'], $member['mb_email'], $member['mb_email'], 'XSS 공격 알림', $_SERVER['REMOTE_ADDR'].' 아이피로 XSS 공격이 있었습니다.\n\n관리자 권한을 탈취하려는 접근이므로 주의하시기 바랍니다.\n\n해당 아이피는 차단하시고 의심되는 게시물이 있는지 확인하시기 바랍니다.\n\n'.G5_URL, 0);


    alert_close('정상적으로 로그인하여 접근하시기 바랍니다.');

}



이상이 기본입니다.


혹시 파트너 플러그인을 사용하신 다면 파트너 로그인쪽도 수정해줘야 합니다.

(/shop/partner/login_check.php)


// FLASH XSS 공격에 대응하기 위하여 회원의 고유키를 생성해 놓는다. 관리자에서 검사함 - 110106

set_session('ss_mb_key', md5($mb['mb_datetime'] . $_SERVER['HTTP_USER_AGENT']));


// 3.26

// 아이디 쿠키에 한달간 저장

if ($auto_login) {

    // 3.27

    // 자동로그인 ---------------------------

    // 쿠키 한달간 저장

    //$key = md5($_SERVER['SERVER_ADDR'] . $_SERVER['REMOTE_ADDR'] . $_SERVER['HTTP_USER_AGENT'] . $mb['mb_password']);

    $key = md5($_SERVER['SERVER_ADDR'] . $_SERVER['HTTP_USER_AGENT'] . $mb['mb_password']); 

    set_cookie('ck_mb_id', $mb['mb_id'], 86400 * 31);

    set_cookie('ck_auto', $key, 86400 * 31);

    // 자동로그인 end ---------------------------

} else {

    set_cookie('ck_mb_id', '', 0);

    set_cookie('ck_auto', '', 0);

}



이외에도 소셜로그인 쪽도 같은 코드가 있습니다.


소셜로그인을 사용하시는 분들은 이부분 같이 고쳐주시면 됩니다. 



9 Comments
M 한별아빠 2017.10.16 15:15  
이건 팁쪽으로 이동...
18 된장남 2017.10.16 15:26  
어떻게 수정을 하라는 것인지 좀 알려 주시면 더 좋을 듯 하겠어요..^^
7 카카롯 2017.10.16 16:06  
제가 한 내용을 하단에 조금 추가 하였습니다. ^^
17 지나잘해 2017.10.17 07:16  
스크랩 합니다
적용방법 좀더 정리해주시면 감사하겟읍니다
7 카카롯 2017.10.17 21:42  
아이피가 바뀌어도 로그인이 끊어지지 않도록 하기위해 필요한 팁입니다. 모바일 사이트에서 유용합니다. 위에 빨간색으로 된 부분을 아미나빌더의 원본과 비교해보시면 다른 부분이 있을 겁니다. 빨간부분 이외에는 원본에서 수정한 부분이 없습니다. ^^

Congratulation! You win the 14 Lucky Point!

17 지나잘해 2017.10.17 22:11  
한번 시도해보겟읍니다
감사합니다

Congratulation! You win the 4 Lucky Point!

12 동글이 2017.10.18 20:44  
감사합니다.적용해 보니 모바일에서 끊어짐 없이 잘 됩니다.
7 카카롯 2017.10.19 18:56  
보안에는 문제가 있지만 사용자들의 불만은 잠재울 수 있습니다. ^^
1 RockG 2017.10.20 14:09  
적용해봐야겠네요~
제목
최근 글
최근 댓글
Facebook Twitter GooglePlus KakaoStory NaverBand