분류 | 게시판 |
베스트 |
|
유머 |
|
이야기 |
|
이슈 |
|
생활 |
|
취미 |
|
학술 |
|
방송연예 |
|
방송프로그램 |
|
디지털 |
|
스포츠 |
|
야구팀 |
|
게임1 |
|
게임2 |
|
기타 |
|
운영 |
|
임시게시판 |
|
안녕하세요. 제가 조그만한 사이트를 운영 중인데 어떤 나쁜사람이 정상적인 경로가 아닌 브라우저 개발자 모드 콘솔 스크립트 삽입을
통하여 강제 진입을 하고 있어서 어떻게 막을지 고민으로 조언을 얻고자 합니다.
예를들어 A 페이지(메인) => B 페이지(상품 정보) => C 페이지(주문) 를 통하여 어떤 상품을 구매해야하는데 어떤 사람은
B 페이지를 거치지 않고 바로 C페이지를 넘어가는 스크립트를 만들어 바로 통과하고있습니다.
B 페이지 에서 C 페이지로 가서는 로그인 되어있는자 + 상품코드 + 리퍼러를 체크하는데 F12를 눌러 나오는 브라우저에서
바로 A에서 C로가는 스크립트(파라미터 포함)를 만들고 바로 실행하여 이동하고 있습니다..
CORS를 피하려고 콘솔에서 하는데 이에 스크립트 헤더 리퍼러까지 기재하고,,
이에 고민중인데.. 다른 큰 규모의 사이트들은 어떻게 방어하고 있으며 참고가 될만한 부분이 있을까 합니다.
제가 고민한 부분은 아래와 같은데 신규 기술을 적용하더라도 레거시 시스템에 적용해야 하므로 쉽지 않을 것 같습니다..
1. 리퍼러 체크
=> 스크립트 헤더 변조로 서버 리퍼로 체크 불가?
2. 토큰 기반 인증
=> 토큰 인증을 하더라도 토큰 생성 타이밍이 고민입니다. 지금 운영 중인곳은 로그인을 세션 기반으로 인증하는데 이 토큰이
단순 페이지 인증용이라 DB 접근도 부담스러운데 어느 시점에 생성하여 C 페이지에서 인증 시킬지도 고민입니다.
3. 파라미터 암호화
=> 예를 들어 상품코드가 A 라하고 여기에 + 타임스템프로 암호화하여 유효 인증 시간을 수분/수초 이내로 검증하여 통과시키려고도
생각해 봤지만 현재 시스템 분포가 워낙 넓다보니 파라미터 넘기는 곳을 전부 넘기는 부분이 쉽지 않지만 최소한이 아닐까도합니다..
죄송합니다. 댓글 작성은 회원만 가능합니다.
번호 | 제 목 | 이름 | 날짜 | 조회 | 추천 | |||||
---|---|---|---|---|---|---|---|---|---|---|
▶ | 특정 페이지 직접 접근 어떻게 막으시나요? [9] | 달콤아시타 | 23/09/10 09:36 | 297 | 0 | |||||
9 | 애니 제목을 찾습니다.. [2] | 달콤아시타 | 20/01/08 19:25 | 54 | 1 | |||||
8 | 기간 시스템이 무엇인지 궁금합니다. [4] | 달콤아시타 | 19/12/30 18:53 | 37 | 0 | |||||
7 | 아주 간만에 던파를 시작해보았습니다.. [2] | 달콤아시타 | 18/11/18 13:00 | 165 | 11 | |||||
6 | 블루투스 국자 [4] | 달콤아시타 | 18/11/09 22:50 | 2580 | 7 | |||||
5 | 반스 워커인데.. 이 신발명? 좀 알려주세요. [2] | 달콤아시타 | 17/01/27 21:27 | 70 | 0 | |||||
4 | 오늘 차였습니다.. [2] | 루루코 | 16/06/04 21:12 | 63 | 10 | |||||
3 | 해외 배송비 저렴한 곳 없을까요?? [3] | 루루코 | 16/04/08 07:27 | 19 | 0 | |||||
2 | 아스트라 홍보 많이 하던데.. 좀 실망.. [1] | 루루코 | 15/10/18 00:00 | 140 | 0 | |||||
1 | 중간중간에 나온 BGM 아시는분 있으시나요?.. [2] | 씬디 | 15/08/15 19:54 | 93 | 2 | |||||
|
||||||||||
[1] | ||||||||||