실시간TAG
#빌런 #그래픽카드 #이벤트
Villain
beta1
공지
이벤트
특집/기획
뉴스/정보
커뮤니티
질문/토론
빌런포럼
장터/핫딜
브랜드로그
커뮤니티 버그/건의
버그/건의 TOP 20 일간
인사이 런칭
버그/건의
[버그/건의] 왜 내 눈에만 보이는 것인가.. 열심히 글을 쓴 것의 제목을 수정하기 위해 제목을 수정하고 .. 저장버튼을 눌렀더니..? 분명 네트워크는 잘 넘어갔다.. 는 여전히 해결 안되었다.. 뭐.. 제목 수정안되는건 여전했으니까.. 그러려니 해야지… 그것보다 제일 큰 문제. 494포인트였던 내 포인트는 저 게시글을 수정하기 위해 완료 버튼을 누른 순간.. 504 포인트가 되었다.. "게시글 작성하면 10포인트 받는거 당연한거 아닌가요? 그렇다. 나는 18분에 이미 등록을 했고.. 35분에 게시글을 수정했을 뿐이다.. 즉, 수정을 했는데 게시글을 쓴 것처럼 점수가 올랐다는 것이다.. 중요한 것은.. 티가 안난다.. 즉. 이미 누군가는 1개의 게시글로 포인트를 미친 듯이 쌓았을 수도 있다는 것이다.. 혹시나 댓글로도 포인트 파밍이 될 수 있는 것인가 테스트 해보려고 했는데 아니 수정 삭제가 안되잖아!? 이 주말에 .. 포인트 버그 발견.. 개발이사님.. 죄송합니다;; 이벤트 경품 당첨되어도 개인정보 줬다간 이사님 찾아오실꺼 같은 불안감이란…
잔고0원 2025.08.10
4
1
[버그/건의] 모바일 홈페이지 관련 개선 요청 지금 현재 빌런의 모바일은 정말 빌런 다운 버그가 일어나 있는 상황입니다. 무슨 버그냐구요? 모바일에서는 2번째에 있는 게시글이 앞 게시글을 잡아먹는 버그가 있습니다. 이렇게 보이던 게시글이 해상도를 줄이면? 이런식으로 잡아먹히는 문제이죠. 콘솔을 통해 보면 앞 게시글의 가로 사이즈 354px이하로 내려가자마자 뒷 게시글로 크기가 이동되는 것이 보이지요? 왜 이런 문제가 생기느냐.. 바로 이 div를 합치는 구간 때문에 발생됩니다. 반응형 웹 페이지는 별도로 모바일 웹버전인 (m.villain.city) 이런식으로 들어가지 않아도 똑같은 URL을 통해 모바일과 데스크탑을 함께 사용 할 수 있도록 만들어진 웹 페이지를 반응형 웹페이지라고 합니다. 반응형 웹페이지의 장점은 모바일 웹으로 구성하면 2개의 웹소스를 운용하거나, 2개의 웹페이지를 별도로 제작해야 한다는 단점이 있던 것을 하나로 관리할 수 있다는 장점이 있습니다. 대신에 두 개로 나눠서 관리하던 것을 하나로 관리해야 하는 점에서 class 같은 지정을 제대로 운용해야 합니다. 근데 빌런은 그 운용을 제대로 하지 못하여 모바일로 접속시 제대로 된 페이지 표기가 되지 않았던 것이죠. 모바일로 보면 게시글은 1열로 표기 되어야 하는데 기본 값이 2열로 설정되어 있어 1칸으로 바뀌었지만 없는 1칸을 또 만들어서 2열로 만들다보니 기존에 있던 좌측의 div 칸을 집어 먹어버리는 문제가 발생해버린 것이죠. 이 문제가 되는 col-span-2와 row-span-2 를 지워버리면? 이랬던 게시글 상태가 이렇게 숨겨졌던 게시글이 표현되면서 정상적으로 변경되는 것을 확인할 수 있었습니다. row-span-2와 col-span-2가 어디서 반환되는지 찾아보려 했는데.. 애초에 carouselMain.js를 통해 값이 반환되는 것으로 보이더군요. api로 어떻게 반환되는지는 모르겠습니다만.. main.html을 이용해서 반환되는 것을 봤습니다. 근데 main.html인데 게시글을 끌어오는 html 소스이면 조각 형태로 해야 하는데 전체코드 형태로 해두셨더라구요..? (왜죠?) 아무튼 api 통신을 통해서 값을 가져온 것을 처리하는 것이라 제가 그 이상의 추적은 어렵게 되었.. 근데 여기서 모바일만 해결 되느냐? 아뇨. 기존에 데스크탑 메인페이지에서 한 줄에 2개의 게시글이 들어가던 문제도 이렇게 해결됩니다. 즉, 이 메인 페이지의 악의 근원은 row-span-2와 col-span-2의 return의 문제였답니다~ 자, 개발이사님. 일하실 시간입니다.
잔고0원 2025.08.10
2
3
[버그/건의] URL 통일화 해주세요.. 주말에 엄청 바쁘게 개발하시는 것 봤습니다 ㅋㅋㅋ XSS 프로텍션이 안보이게 설정을 없애는게 좋겠다는 뜻이였는데 아에 1로 보호설정을 하셨더라구요 ㅋㅋㅋ 설정하면 사이트 내부 파일도 403으로 에러 발생했을 텐데.. 어찌저찌 해결이 되었나 봅니다. 그것보다.. 리다이렉트 URL 설정이 조금 필요하실 것 같습니다. www.villain.city와 villain.city 두 개의 URL이 동일한 빌런 사이트로 이동이 되지만 중요한건 브라우저에서는 이 두개의 URL을 다른 사이트로 인식해서 www.villain.city 에 로그인 하면 villain.city 에는 로그아웃이 되어 있습니다. 뭐 .. 이건 브라우저가 다른 사이트로 인식해 쿠키가 두 개로 나뉘어서 로그인 세션 유지 안 되는건 원래 정상적인건데 멀티 계정을 손쉽게 쓸 수 있다는 단점이 있어 이벤트 형식으로 진행할 때 문제가 좀 많이 생길 가능성이 높을 것 같아요. www.villain.city로 접속하면 villain.city로 리다이렉트 시키는 것이 좋을 것 같습니다.
잔고0원 2025.08.04
2
3
[버그/건의] 추가 요청사항 지금 응답할때의 데이터를 더 살펴봤는데 헤더 관련하여 미흡한 부분도 있어 이를 추가요청합니다. CSP (Content-Security-Policy) HSTS (Strict-Transport-Security) 두 개의 헤더 설정은 XSS 공격을 막는 것과 https의 접속 강제를 설정하는 헤더로, SSH로 보안설정을 해도 정작 https로 접속하지 않으면 보안의 위험이 있기 때문에 필수로 설정해야 하는 헤더인데 이 두개가 빠져있습니다.
잔고0원 2025.08.02
3
2
[버그/건의] 추가 문제사항2 URL에 관한 권한 설정이 필요 합니다. 이유는 제가 혹시나 싶어서 비공개로 글을 작성하고 URL을 접속하니 아주 쉽게 접근이 되는군요. 실제로는 노출 안되는 게시글이 이렇게 쉽게 접근이 가능합니다. 2. 게시글 저장 관련 페이로드를 보면 302 Found가 발생합니다. 이는 제대로 된 정보가 넘어가지 않아 발생된 문제이며, 이로 인하여 이미 저장된 게시글은 본문이 수정은 되지만 타이틀이 수정되지 않는 부분들이 발생됩니다. 실제로 넘겼던 Payload 값. 저장 후 다시 넘어오니 보이는 제목 텍스트 무슨 이야기인지는 한번만 테스트해봐도 알 수 있겠네요.
잔고0원 2025.08.02
3
1
[버그/건의] 추가 문제사항 문제 사항. XSS 관련 보안 위험 서버에서 응답 되는 값들을 살펴보는 중 문제가 될 수 있는 사항을 발견함. X-XSS-Protection을 Value를 0으로 설정함. 이는 웹 브라우저에게 서버가 “이 사이트는 XSS 보호기능 끄세요.” 라고 지시한거임. 이건 XSS 보안관련 위험문제가 높음. 여기에 플러스로 더 위험한건 바로 게시글을 조회할때 발생하는 API 중 하나인 https://www.villain.city/api/auth/check 이거임. 왜? 여기에 반환되는 응답값에는 이전에 작성했던 개인정보가 여기서도 똑같이 표기되기 때문임. 여기서 필요한 것은 roles와 role, 그리고 block, black뿐임. 즉, 그 위에 있는 userId 외의 다른 개인정보를 서버에서는 반환하여선 안됨. XSS 프로 텍터가 꺼져있는 상태에 이게 js로 반환이 된다? 그러면 중간에 누군가가 이 응답 값을 가로 챌 수 있다는 것임. CKEditor를 사용하고 있는데 CKEditor도 필터링을 통해 HTML 소스 같은 것들을 표기하지 못하도록 기능을 구현해놓고 있지만, 하지만 무언가에 의해 필터링을 피해 입력할 수 있다면? 그 순간 api/auth/check를 통해 개인정보를 모두 취득할 수 있게 됨. script로 공격자 서버에다가 이 데이터를 넘기게 설정할 수 있으니까. 그러면 해킹을 직접적으로 당한 것이 아니라서 서버나 관리자도 이는 눈치 채지도 못할 것이고, 그러다 개인정보 털리면? 큰일나게 되는거임.. 그리고 어떤 api에서 개인정보를 반환합니까.. 저도 독학으로 프로그래밍 배웠지만 프로그램에서 사용자 정보 수정 외에는 사용자의 데이터에서 접근 할 수 있어야 하는 건 사용자의 ID만 접근 할 수 있어야 합니다. 또한, 설정 관련해서 Access-Control-Allow-Origin: * 이게 뭔지 아십니까? 어디서든 이 URL를 맘대로 조회할 수 있다는 뜻입니다. 그러면 무슨 문제가 있느냐.. 어디서든 API를 조회요청을 할 수 있고, 서버는 이 요청을 무시하지 않고 답변을 해준다는 것입니다. 즉, 지금 어떤 방식으로 auth 데이터를 수신요청하고 있는지는 아직 확인이 안되었지만 공격자가 사용자의 정보를 얻기 위해 전송되는 값을 알게 된다면 api요청을 통해 auth 데이터를 요청할 수 있고, 서버는 모든 주소를 허용했기 때문에 그 요청에 개인정보를 그대로 넘겨줄 수 있다는 뜻입니다.
잔고0원 2025.08.02
3
2
[버그/건의] 아니 이건 좀 심각한데요. 빠른 조치 해주시죠. https://www.villain.city/api/comment/list 이거. 코딩해놓으셨던게 있으신데.. 이건 아니지 않나요..? 제 이름이랑 핸드폰도 같이 뜨던데요 패스워드가 암호화 되어 있긴한데 애초에 API 조회에 회원 개인정보가 조회되는 건 좀 아닌 것 같습니다. 제 꺼는 제 이름과 휴대폰 번호 다 뜨네요. 이거 어디서 떴냐구요? 댓글 작성하니까 네트워크에 뜨더군요. 이건 아니잖아요.. 진짜 이건 시급한겁니다. 개인정보 노출될 우려가 높다면 회원 탈퇴를 하고 싶네요. 이럴꺼면 내 실제 정보를 입력 안하죠.. 그냥 조회만 해도 내 정보가 다 뜨면 이게 뭔..
잔고0원 2025.08.01
13
1
[버그/건의] 대장? 님 꼭 보세요.. 제 글 아닙니다 URL만 수정해도 남의 게시글 참여 가능 심지어 수정 하고 저장도 가능.. 게시글 작성자, 운영진만 접근 가능하도록 설정해야 하지 않을까 싶어요.. 공지사항도 수정할 수 있을 꺼 같은데 ..
잔고0원 2025.08.01
6
3
1 2 3 4 5 6 7 8
인사이 런칭특가
  • 이벤트
    • l
  • 체험단 모집
    • l
  • 특가 이벤트
    • l
  • 당첨/발표
  • 인사이 음식물 처리기 런칭! 빌런 단독 추가 할인 이벤트
  • 종합
  • 뉴스/정보
  • 커뮤니티
  • 질문/토론
TOP1 [일상/생활] 겨울철 전기차 주행거리, 이렇게 하면 극대화할 수 있다 TOP2 [이슈/논란] Ai 사진 구별하기 더 어려워 지네요 TOP3 [모바일] 삼성, Exynos 2600 최초 공개… “조용히 들었고, 핵심부터 다듬었다”는 티저로 메시지 전달 TOP4 [컴퓨터] 조텍 VIP 멤버십, 12월 맞아 달콤한 제주귤 증정 이벤트 진행 TOP5 [컴퓨터] Intel Core Ultra 7 366H, Geekbench에 유출 – iGPU 성능이 Radeon 840M 대비 26%↑ TOP6 [일상/생활] 알리 광군제와 블프 때문일까요? 평택세관에 오래 붙들려 있네요. TOP7 [이슈/논란] Ai로 만든 광고, 업계비상. TOP8 [자동차] 테슬라 Model 3/Y 중국산 LG NCM811 팩, 심각한 고장률과 압도적으로 짧은 수명 TOP9 [컴퓨터] ‘Windows on ARM 지원 외장 GPU’, 엔비디아·AMD가 아니라 중국 리쑤안일 가능성 TOP10 [일상/생활] 이제 한파 시작인듯 하네요.
브랜드로그
0 / 0
탁탁몰
인사이 런칭
빌런18+ 소개 이용약관 개인정보처리방침 광고 및 제휴문의
커뮤니티 빌런 18+ ( Villain ) Beta 2.0
본사 l 서울 금천구 가산디지털1로 33-33 대륭테크노타운2차 7층 705-5호
운영팀 l 경기도 고양시 덕양구 동축로 70 현대프리미어캠퍼스5층 B동 A5층48호
대표전화 l 010-4588-4581 서비스 시작일 l 2025-08-15 전자우편 l master@villain.city
커뮤니티 빌런 18+ ( Villain ) 의 모든 콘텐츠(영상,기사, 사진)는 출처를 표기하는 조건으로 무단 전재와 복사, 배포 등을 허용합니다.
Copyright © 커뮤니티 빌런 18+ ( Villain ) All Rights Reserved.