| r14 vs r15 | ||
|---|---|---|
| ... | ... | |
| 37 | 37 | |
| 38 | 38 | 다행히 the seed engine을 사용하는 위키에서는 [[2017년 나무위키 XSS 공격 보고서]]에서도 언급한 바 있듯이 Content Security Policy가 적용되어 있고, 쿠키에는 모두 Secure 및 HttpOnly 플래그가 붙어있어 공격자가 쿠키를 외부 전송한다든가 할 수는 없다. 또한 ACL 엔티티는 그 길이가 255자로 제한되어 있어 공격자가 일정 길이 이상의 공격 코드를 짤 수 없었다. |
| 39 | 39 | |
| 40 | == | |
| 40 | == 진행상황 == | |
| 41 | 41 | === 더시드위키에서 === |
| 42 | 42 | ACL 조정은 [[admin]] 권한이 있어야 가능하나, 이 권한은 대부분의 사용자들이 아무 제약 없이 받을 수 있는 권한이기에 발견 즉시 모든 사용자의 ACL 조정 권한이 [[https://theseed.io/thread/AwfulAdDeliciousTurn|회수]]되었었고, v4.28.0.897에서 해결된 것을 확인 후 복구되었다. |
| 43 | 43 | |
| ... | ... |