민주당 홈페이지 블루웨이브 문제점

개발 모르시는분들을 위한 우선 4줄 요약 

1. 개발사 잘못고름. 

2. 사이트 보안취약점들을 대놓고 드러내서 위험한 상황이었음. 

3. 다른사람들의 글을 수정할수있을 정도이며, 이재명 대표의 글까지 수정할수있었을정도임. 

4. 글작성 페이지 접속시 개발자 모드키면 쿠키로 대놓고 자신의 개인정보가 담겨짐 

 

우선, 기존 사이트에서 새 사이트로 이동하는 방식부터가 잘못되었습니다. 새 DB로 다시 작성했는지 같은 그누보드 기반인데 당원 정보 DB부터 이전되지않고 별개의 인증을 해야하는데, 더 웃긴건 당원가입은 여전히 기존사이트(old.theminjoo.kr)에서 해여한다는것부터 이미 문제가 있음을 증명하는것입니다. 

 

그리고, 대놓고 보안취약점들이 보입니다. 

우선, echo문으로 대놓고 SQL문을 대놓고 보여주고있습니다. 하다못해 요즘은 PHP 에러메세지도 가리는판인데... 

 

또한, 당원인증할때 주민번호를 입력하면, 평문으로 get요청으로 보내는등 보안개냠을 쌈싸먹었습니다. 

 

다른사람들의 글을 수정할수있는 취약점도 발견되었으며, 심지어 이재명 대표님의 글까지 수정할수있다는 제보를 받았습니다. 

 

이정도면 잘못설계한거죠. 같은 그누보드기반인데 왜 기존 DB들이 이전이 안되는거죠? 기존 사이트도 그정도까진 아니였는데