- 7
- Seia
- 조회 수 215
호스팅케이알에서 모두들 한글도메인에 한정해 한달간 무료 발급을 한다는 사실을 모두 알고 계실겁니다. 이 내용은 제 디스코드 서버에서 한 분의 제보와 몇 분의 개발자 분들과 함께 발췌되었습니다.
현재 호스팅케이알에서 무료로 행사 중인 TLD는 kr과 한국, 2가지입니다. 그런데 여기에서 메가존(호스팅케이알) 측은 도메인의 이름이 한글인지 검사하는 과정을 모두 프런트엔드로 넘겨 englishname.kr과 같은 도메인이 무료로 등록할 수 있게 된 점을 발견하였습니다.
또한 아직 이 점은 확인하지 않았지만 한글을 검사하는 해당 자바스크립트에서는 선택한 도메인이 kr과 한글인지 검사하는 부분도 포함되어 있었던 것을 보아 다른 TLD도 무료 등록이 가능한 것도 추측하고 있습니다.
이러한 취약점을 통해 도메인을 허용된 조건 외에 다른 방법으로 무료로 등록하는 것은 합법적인 내용이 아니며 남용하시는 분이 없었으면 좋겠습니다!
추천인 1
작성자
댓글 7
보통은 프론트엔드에서 1차적으로 방지하는데 호스팅케이알은 백엔드에서도 막히지 않고 갱신까지 되는 것으로 확인되어 문제가 꽤 크네요
아마도 저렇식으로 취득한 도메인은 따로 처리하지않을까 싶네요..그대로 두면 진짜 그건 문제가있는거니까..
현재 상황으로 봐서는 취득한 도메인의 검열 또한 쉽지 않는 것이 현실이네요. 안타깝게도 제 주변에는 도메인을 몇 백개씩 구입하신 분이... 많은 것 같습니다. 게다가 그 영문도메인의 결제 금액도 확인해야 하고요.
처리할걸요. 아마.
도메인은 소유권을 얻는게 아니라 임대를 하는거라, 부정등록시 임의로 회수하는게 기술적으로 불가능하지 않을거구요.
결제되지 않았다는 걸 확인하는게 어렵지는 않을겁니다. 이벤트 기간동안 등록한 도메인 중에, kr 도메인만 확인하면 되는거니까요.
회원별 결제금액이랑 등록 도메인 개수를 비교하면 답이 나올테니, 검열은 어렵지 않습니다.
또 메가존에서 무제한 발급 가능한 권리를 가지는게 아니라, KRNIC 으로 수수료를 지불해야 하는데,
몇백개씩 구매하면 지불해야 하는 수수료 엄청날겁니다.
COM이 5백원인데, KR이라고 더 낮지는 않을테고. 또 이렇게 구매한 사람이 적지도 않아 보이네요.
도메인 등록하면 해당 업체의 네임서버도 엄청 차지할텐데, 법적으로 문제제기나 안당하면 다행이지요;;
검열은 쉽게 이루어지는 군요. 그렇지만 이번 이벤트는 KISA에서 주관하여 한글도메인 구매촉진을 위한 것이라는 말도 있네요. 메가존이 잘 처리해야 할텐데 말이죠.
KISA에서 메가존 등등의 업체에 비용을 주고 시작한 이벤트일텐데,
이 오류는 메가존 측 실수다보니, 돈을 지불한 KISA 에게 책임을 물릴수는 없겠지요.
어느정도 업무상의 도움은 줄수 있겠지만....요?
뭐, 무료 결제 도메인은 통계를 위해서라도 DB 내에 무료 결제 되었다고 저장하고 있을테니,
내일이면 바로 일괄삭제 되지 않을까 싶습니다. 오늘이 휴일이라 그렇지. 원래라면 시간이 오래 걸릴 문제도 아니지요.
다른사이트 게시글에서 어떤분이 고객센터에 문제점 글남겼다는데 휴일이라 답변이 아직없다는글 본적있었는데..
과연 무슨 답변이 올지 궁굼하긴하네요..답변달아주면 올린다고했었는데..