개발 Q&A

제목 보안을 유지하면서 POST 데이터를 넘겨야 한다면..
글쓴이 FOKKIA 작성시각 2016/05/13 13:27:23
댓글 : 4 추천 : 0 스크랩 : 0 조회수 : 11816   RSS

페이지 1에서 정보를 받고, 페이지 2로 넘깁니다.

페이지 2에서 추가로 정보를 받고, 페이지 3으로 넘겨야 하는데요..

 

일단은 hash를 input hidden에 넣어놓고 넘기는 방식으로 진행하고 있습니다만

이렇게 짜보니 그냥 전문을 암호화 해서 넘기는게 더 좋아보여서요.. (여러가지를 해쉬화해서 같이 넘긴 후, 무결성 검사를 진행하는 방식으로 처리했습니다.)

여러분은 이런 상황에서 어떻게 처리하시나요? 

 다음글 함수명을 의미하는 문자열로 함수를 호출할수있나요? (5)
 이전글 아 힘듬니다. 브라우저 버젼 별 체크. 도와주세요. (4)

댓글

kaido / 2016/05/13 13:33:36 / 추천 0

post 전송에 따른 보안 취약성에 대해서 갑을논박이 내려왔습니다만, 결론이 이거 였습니다.

 

"보안 누수는 post 가 문제가 아니라, 다른 곳에 있다."

 

post를 암호 해도 별반 다를거 없습니다. 중요한 데이터이면  ssl 이용하세요.

kisa 에서도 ssl 사용을 권고 합니다. 

 

만일 그 데이터가 들어나는 종류의 것 이라면 해쉬로 암호하고 약속된 키를 서로 가지고 매칭을 합니다.

 

ci 에서는  csrf 옵션을  사용합니다.

FOKKIA / 2016/05/13 13:42:11 / 추천 0

//kaido 

SSL도 사용하고, CSRF 옵션도 전역 사용중입니다. 다만, POST 데이터 전송 시 유저가 개발자 도구를 통해 Input value를 수정하는 것을 막고자 하는 것이죠. 지금 처리한 방법도 무결성을 잘 유지해주지만 아무래도 데이터가 많아지다 보니까 더 좋은 방법이 없나 고민중입니다.

별다른 방법이 없으면 해쉬로 검사하는 방법을 써야겠지만요.. 일부 보안이 중요한 비밀번호나 그런 부분은 input 태그를 봐도 알 수 없게 암호화 해서 전송한 후 처리시에만 복호화하는 과정을 거치게 해두긴 했는데 좀 찜찜해서 ㅎㅎ;

kaido / 2016/05/13 13:58:43 / 추천 0

@FFKKIA

솔직히 할 만큼 했는데 풀어서 보는 수준의 해킹은 어차피 못 막습니다.

접속로그 떠다가 신고하는 수밖에 ( ..)

 

아 그리고보니 이전에 post 전송 관련 문제로 별별 방법을 다 고안하다가 이런적도 있습니다.

특정 페이지에서 submit이 일어나면 시간 베이스 기준으로 권한 토큰을 만들어서 저장.  전송시 마다 만들어진 토큰과 서로 비교를 해서 권한 허가를 내린적도 있네요.

물론 그 토큰은 키값을 가진 해쉬 알고리즘으로 저장 합니다.

 

node.js 쪽이 스크립트 기반이다 보니, 위변조가 쉬워서 별별 방법 다 써보았었죠 OTL

변종원(웅파) / 2016/05/13 15:16:07 / 추천 0

세션으로 저장하는 방법이 있으나 이것도 post 전송시 개발자도구에서 위조하면 똑같아지는거라....

웹 보안은 할 수 있는 것은 하는데 다 막지 못합니다. csrf, xss clean, sql injection 처리 해놨으면 할건 다 한겁니다.

ssl도입하세요. ^^

 

암호화도 단방향 아니면 사실 똑같습니다. 귀찮게 하는 것뿐이죠.