나쁜 인증 시도 방어하기! 2편

게시물ID : programmer_22737

작성자 : 봄아

추천 : 11

IP : 125.128.***.86

댓글 : 0개

등록시간 : 2018/12/13 11:08:39

http://todayhumor.com/?programmer_22737

모바일

나쁜 인증 시도 방어하기! 2편

옵션	창작글 본인삭제금지

다음날.<br>혹시나 하는 마음에 출근 하자마자 DB를 실행해 인증 내역 쿼리를 실행해 봤다.<br><br>“햐 ㅅㅂ 쉐키들~”<br><br><div>욕이 육성으로 터져 나왔다. 동시에 CS 팀장으로부터 전화. 띠리링~ <br></div> <div><br></div>“네. 개발팀 봄이입니다. 인증 내역 때문에 전화 주신거죠?”<br>“네. 어제와 같은 상황이네요.”<br>“이 녀석들 어젯밤 10시부터 다시 시작이네요. 국내 IP로 돌렸나 봐요. 확인해 보고 다시 연락 드릴께요.”<br>“네. 수고하세요”<br><br><div>터미널 접속해 인증 시도 로그를 확인해 봤다. 이 쉥키들 Proxy를 돌리는지 국내 여기 저기 IP로 접속해 인증 시도를 하고 있었다. 막아야 하는데… 어떻게? 워낙 접속하는 IP가 불특정 다수라 무작정 IP만으로 막을 순 없었다. 그렇다고 손 놓을 순 없어 일단 인증 시도되는 IP를 수집해 보도록 한다. 심플하게 DB 테이블 구성해 수집하도록 구성해 서비스 반영 시켰다. 한 시간 남짓 지나 수집된 정보를 보니 특정 IP 몇 몇 개가 수십회의 인증을 시도 하고 있었다. 그리고 로그 패턴을 봐선 봇이 확실한 것 같고. 일단 인증 시도 5회 이상인 경우는 정상이 아니니까 차단 하도록 했다. 급한 상황이라 로컬 테스트 후 바로 운영 서비스 반영으로 이뤄 졌다. <br></div> <div><br></div> <div>하지만 더 근본적인 문제를 해결 해야 했다. 지금 인증 창은 인증 업체와 Server To Server로 개발 돼 있어 인증 화면을 우리 회사의 요구대로 커스터마이징 할 수 있는 구조다. 타 인증 화면은 키보드 보안으로 ActiveX( 또는 그에 준하는 이상한 플러그인)를 설치 해야 하지만 우리 사이트는 그런 것은 없지. 음… Captcha(보안 그림 문자)를 추가 하기로 했다. 일전에 Captcha를 만들어 놓은 클래스가 있어 서비스 적용에는 어렵지 않았다.</div> <div><br></div> <div>소스를 컨버전 시키면서 걸리는 것이 생긴다. 바로 사운드 출력이다. 보유하고 있는 사운드 파일은 숫자들 뿐. 보안 문자는 숫자+영대문자 조합인데 이 경우 정상적인 사운드 출력을 할 수 없었다. 구글링 돌려서 영문 알파벳 사운드 파일을 다운로드 받았다. Mp3파일을 Wav로 변환하니 용량이 문제가 됐다. 약 10MB(아악~!). 이 파일을 WAR에 포함 시키기엔 너무나 컸다. 그래서 서버 특정 경로에 파일들을 복사 해 놓고 사용 하기로 했다. 하지만 너무나 귀찮다. 운영서버, 개발서버, 각 개발자 PC에 모두 동일 경로에 파일을 복사해 놔야 하는 문제라니…… 나중에 개발 환경 재 설정 할 땐 어떻게 하려구… 고민이다. 하지만 WAR파일 크기를 10MB나 늘리는 것은 죄이며 악이다. 어쩔 수 없다. <br></div> <div><br></div>Wav 파일 복사 완료 후 테스트 진행 해 봤다. 웬걸. 오류다. 파일을 찾을 수 없다는 오류. 이상하다. 접근 경로에 분명 파일이 있는데. 파일 경로 및 파일을 읽어 오는 파트에 BP를 걸어 값을 확인해 봤지만 File 정보에 있는 값은 정상 이였다. 뭐지? ㅡ,ㅡ; 혹시나 하는 마음에 Sound Resource의 구현부 클래스에 에러 로그를 추가 해 봤다. Exception이 그 클래스에서 발생. 다행히 에러 메시지는 친절 했다. Bit/Sample rate를 낮춰달라는 메시지. 요구 사항에 맞춰 Wav파일을 다시 변환 작업을 진행 했다. 용량도 많이 줄었다. 1.7MB… 다시 갈등이 생긴다. 이 정도 크기면 WAR에 포함 시켜 볼만하다 싶었다. 그래. 포함 시키는 것으로 결정. 아까 서버에 복사해 뒀던 Wav 파일을 모두 삭제 시키고 사운드 파일을 Resource 영역에 복사 시켜 놨다. 테스트 결과 사운드 잘 나온다. <br><div>그런데 Resource 경로가 사운드 파일이 들어가면서 좀 보기가 안 좋다. 개인적으로 파일이 많은 건 좋아하지 않아서. 그래서 하나로 합치기로 한다. 깔끔히 파일이 합쳐 졌다. <br></div> <div><br></div> <div>/** 파일 내용 byte array로 변환 */<br></div> <div>private static byte [] getByteArrayFromFile( String fileName ) throws IOException{<br> <br> final RandomAccessFile raf = new RandomAccessFile(fileName, "r");<br> <br> final byte[] result = new byte[(int)raf.length()];<br> raf.readFully( result );<br> raf.close();<br> <br> return result;<br>}<br><br>public static void main(String[] args) throws IOException {</div> <div><br></div> <div> final Map<String, byte [] > rdSource = new HashMap<String, byte [] >();<br> <br> final String headerPath = "K:\\AlphabetWavs\\";<br> <br> final int [][] array = new int [][]{{48, 10}, {97, 26}};<br> for( int [] item : array ){<br> int i=item[0], count=item[1]+i;<br> for( ; i<count ; i++ ){<br> final String name = (char)i;<br> rdSource.put(name, getByteArrayFromFile(headerPath + name+".wav"));<br> }<br> }<br> <br> final ObjectOutputStream oos = new ObjectOutputStream( new FileOutputStream( headerPath+"CaptchaSound.dat" ) );<br> oos.writeObject( rdSource );<br> oos.flush();<br> oos.close();<br>}<br></div> <div>// 프로그래머 개시판이니까 이런 내용 들어가도 괜찮겠지? ㅋㅋㅋ<br></div> <div><br></div>Captcha의 정보는 DB를 이용하기로 했다. 과거 Captcha정보를 Session에 보관 했더니 브라우저 개발 툴에 정보가 노출 되는 경우도 있고 모바일이나 App에서 Session이 정상적인 동작을 하지 않는 경우도 있었다. Captcha정보를 DB에 추가 후 발생된 인덱스 정보만 암호화 처리 후 Front에 넘기기로 했다. 인증 정보 요청 전 Captcha 컨트롤러를 통해 결과 여부를 확인 하고 성공으로 전달 되면 인증 요청 함수를 호출 하도록 작업 했다. 만에 하나 악의 적인 목적으로 Captcha를 호출 하지 않고 바로 인증 요청을 할 경우 문제 될 수 있기 때문에 인증 요청 함수에도 Captcha를 통과 했는지 검사하는 기능을 추가 했다. 나의 요구 사항에 퍼블리셔는 재빠르게 화면 수정을 완료 했다. 다시 테스트 로컬/개발/운영 테스트 진행. 간혹 개발자 중 귀찮아 하는 사람들이 있는데 이는 꼭 해야 하는 과정이다.(과거 이런 단순 루틴을 하지 않아 발생 되는 문제를 수도 없이 봐 왔기 때문에)<br><div>서비스 반영까지 완료 후 로그 창을 띄우고 내가 직접 인증을 해 본다. 로그가 정상적으로 DB도 정상적으로 이뤄 졌다. <br></div> <div><br></div>띠리링~ 띠리링~<br><div><br></div> <div>“네 저 개발팀 봄이인데요. 인증 화면 수정 했습니다. 보안 문자 추가 했어요.”</div>“네~ 저도 한번 해 볼께요. 수고하셨어요.”<br><div><br></div> <div>전화를 끊고 다시 로그를 살펴 본다. DB도 다시 조회해 본다. 로그는 한 시간 가량 계속 시도 정보가 올라오다가 사라 졌다. </div> <div><br></div> <div>‘휴~ 다행이야.’</div> <div><br></div> <div>퇴근 전 다시 로그와 DB를 조회 해 본다. </div> <div><br></div> <div>정상이다. </div> <div><br></div> <div>잘 끝났군. 퇴근하자.</div>(하지만 이런 생각은 수 일 후 싹 바뀌게 된다. 인간은 왜 똑 같은 실수를 반복 하는가…)<br><br><div style="border:3px dashed #0000FF;display:none;"></div> <div style="display:none;width:0px;height:0px;background:none repeat scroll 0% 0%;"></div>

이 게시물을 추천한 분들의 목록입니다.

[1] 2018/12/13 14:51:23 27.122.***.71 re0201 136641
[2] 2018/12/13 15:18:33 174.16.***.45 nc스테고 414704
[3] 2018/12/14 00:59:09 175.115.***.89 skysummer 618312
[4] 2018/12/14 02:38:59 115.69.***.138 내가니엡이다 94397
[5] 2018/12/14 11:24:36 211.214.***.189 doraq 92937
[6] 2018/12/14 19:36:06 110.70.***.132 엉덩탱탱 683937
[7] 2018/12/14 20:08:32 147.46.***.42 CandyJelly 566431
[8] 2018/12/16 21:06:58 222.234.***.42 뻐그 555466
[9] 2018/12/17 16:22:32 211.36.***.68 아일턴 507576
[10] 2018/12/18 10:10:29 211.118.***.239 야간산책 406206

푸르딩딩:추천수 3이상 댓글은 배경색이 바뀝니다.
(단,비공감수가 추천수의 1/3 초과시 해당없음)

죄송합니다. 댓글 작성은 회원만 가능합니다.

번호

제 목

이름

날짜

조회

추천

22752

보안취약점을 체크하는 프로그램이 프리웨어로도 있나요? [3] 본인삭제금지

jar

18/12/24 20:07

910

22749

엑셀로 이벤트 당첨자 만들기 다음과 같이 가능할까요? [2]

미친색기

18/12/23 20:15

792

22748

const 한정자는 좋은 코딩 습관의 기초 [1]

★☆

18/12/22 00:30

1385

22747

나의 코딩 룰. [7]

봄아

18/12/21 12:00

1643

22746

[gcc] 의미없어 보이지만 의미심장한 (X)+0 그리고 함수 오버로딩 [6]

★☆

18/12/21 07:40

1337

22745

c언어 동적 char 할당의 메모리.... [3]

정답이없음

18/12/20 11:01

963

22744

[java] NIO Socket 예제 창작글

봄아

18/12/18 15:07

870

22743

나쁜 인증 시도 방어하기! 4편(final) [5] 창작글

봄아

18/12/17 10:28

1483

22742

매틀랩으로 컴파일된 파일 실행시.. 대기시간.. [1] 베오베금지

샤브레

18/12/16 19:58

758

22740

나쁜 인증 시도 방어하기! 3편 [3] 창작글

봄아

18/12/14 17:56

1456

22739

c언어 증감연산자 질문 [18] 창작글

정답이없음

18/12/14 12:35

1033

▶

나쁜 인증 시도 방어하기! 2편 창작글

봄아

18/12/13 11:08

1408

22736

[android]navigation 레이아웃의 타이틀바 제거 가능한가요?

noway130

18/12/13 10:03

587

22735

카카오봇 써보신분 계신가요?!

윰블리95

18/12/13 02:59

796

22734

나쁜 인증 시도 방어하기! 1편 [2] 창작글

봄아

18/12/12 16:14

1821

22733

c 언어 str 쪽 한번만 봐주실 수 있으신가요? [6]

강무

18/12/11 17:15

920

22731

본삭금 / C#에서 이미지 바이트배열에 대해 궁금한게있습니다. [1] 본인삭제금지

이비서

18/12/11 10:25

761

22730

질문/본삭금/ 개인 어플 개발 후 서버 이용 비용 관련 [10] 본인삭제금지

돌고래03

18/12/09 21:26

999

22729

개발자 입장에서 라이센스 관리(?)에 관한 질문 [2] 창작글

샤브레

18/12/09 20:25

905

22726

c언어 구조체 포인터 질문입니다 ㅠㅠ 도와주세요 ㅠㅠ [4] 본인삭제금지

슴여슷

18/12/07 19:05

1652

22725

c에서 gets()가 자꾸 스킵이 돼요..ㅜㅠ [1] 본인삭제금지

birthdream

18/12/07 16:26

1073

22724

홈페이지 슬라이더 CSS랑 js 코드 좀 여쭤봐요! [3]

꽃징어꽃꽃

18/12/07 16:00

689

22723

birthdream

18/12/07 11:05

845

22721

LLVM컴파일러를 배우고싶은데요 외부펌금지

망고뫄이쪙

18/12/07 10:09

624

22720

솔직한 답변 부탁드립니다 [6]

나눔거지

18/12/06 22:57

856

22717

개발자 연봉 [7]

방탄승

18/12/06 10:46

1929

22715

Json 에서 json schema 로 변경하는 java 프로젝트가있을까 [2] 본인삭제금지

under1

18/12/04 20:27

810

22714

Vue.js로 todo 어플리케이션 만들기 강의를 만들었습니다. 창작글

따라라따라

18/12/04 09:36

931

22713

HTML에서 상세 데이터 출력 후 저장 구현 부분 질문입니다. [2] 본인삭제금지

TeamDKs

18/12/04 07:01

706

22711

Atmega128 4x4키패드 한번만 봐주세요..

기마온

18/12/03 01:48

1170

[◀이전10개] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [다음10개▶]

분류	게시판
베스트	베스트오브베스트 베스트 오늘의베스트
유머	유머자료 유머글
이야기	자유 고민 연애 결혼생활 좋은글 자랑 공포 멘붕 사이다 꿈 똥 군대 밀리터리 미스터리 술한잔 오늘있잖아요 투표인증 새해
이슈	시사 시사아카이브 사회면 사건사고
생활	패션 패션착샷 아동패션착샷 뷰티 인테리어 DIY 요리 커피&차 육아 법률 동물 책 지식 취업정보 식물 다이어트 의료 영어 맛집 추천사이트 해외직구
취미	사진 사진강좌 카메라 만화 애니메이션 포니 자전거 자동차 여행 바이크 민물낚시 바다낚시 장난감 그림판
학술	경제 역사 예술 과학 철학 심리학
방송연예	연예 음악 음악찾기 악기 음향기기 영화 다큐멘터리 국내드라마 해외드라마 예능 팟케스트
방송프로그램	무한도전 더지니어스 개그콘서트 런닝맨 나가수
디지털	컴퓨터 프로그래머 IT 안티바이러스 애플 안드로이드 스마트폰 윈도우폰 심비안
스포츠	스포츠 축구 야구 농구 바둑
야구팀	삼성 두산 NC 넥센 한화 SK 기아 롯데 LG KT 메이저리그 일본프로야구리그
게임1	플래시게임 게임토론방 엑스박스 플레이스테이션 닌텐도 모바일게임
게임2	던전앤파이터 롤 마비노기 마비노기영웅전 하스스톤 히어로즈오브더스톰 gta5 디아블로 디아블로2 피파온라인2 피파온라인3 워크래프트 월드오브워크래프트 밀리언아서 월드오브탱크 블레이드앤소울 검은사막 스타크래프트 스타크래프트2 베틀필드3 마인크래프트 데이즈 문명 서든어택 테라 아이온 심시티5 프리스타일풋볼 스페셜포스 사이퍼즈 도타2 메이플스토리1 메이플스토리2 오버워치 오버워치그룹모집 포켓몬고 파이널판타지14 배틀그라운드
기타	종교 단어장 자료창고
운영	공지사항 오유운영 게시판신청 보류
임시게시판	메르스 세월호 원전사고 2016리오올림픽 2018평창올림픽 코로나19 2020도쿄올림픽