안녕하세요. 제가 조그만한 사이트를 운영 중인데 어떤 나쁜사람이 정상적인 경로가 아닌 브라우저 개발자 모드 콘솔 스크립트 삽입을
통하여 강제 진입을 하고 있어서 어떻게 막을지 고민으로 조언을 얻고자 합니다.
예를들어 A 페이지(메인) => B 페이지(상품 정보) => C 페이지(주문) 를 통하여 어떤 상품을 구매해야하는데 어떤 사람은
B 페이지를 거치지 않고 바로 C페이지를 넘어가는 스크립트를 만들어 바로 통과하고있습니다.
B 페이지 에서 C 페이지로 가서는 로그인 되어있는자 + 상품코드 + 리퍼러를 체크하는데 F12를 눌러 나오는 브라우저에서
바로 A에서 C로가는 스크립트(파라미터 포함)를 만들고 바로 실행하여 이동하고 있습니다..
CORS를 피하려고 콘솔에서 하는데 이에 스크립트 헤더 리퍼러까지 기재하고,,
이에 고민중인데.. 다른 큰 규모의 사이트들은 어떻게 방어하고 있으며 참고가 될만한 부분이 있을까 합니다.
제가 고민한 부분은 아래와 같은데 신규 기술을 적용하더라도 레거시 시스템에 적용해야 하므로 쉽지 않을 것 같습니다..
1. 리퍼러 체크
=> 스크립트 헤더 변조로 서버 리퍼로 체크 불가?
2. 토큰 기반 인증
=> 토큰 인증을 하더라도 토큰 생성 타이밍이 고민입니다. 지금 운영 중인곳은 로그인을 세션 기반으로 인증하는데 이 토큰이
단순 페이지 인증용이라 DB 접근도 부담스러운데 어느 시점에 생성하여 C 페이지에서 인증 시킬지도 고민입니다.
3. 파라미터 암호화
=> 예를 들어 상품코드가 A 라하고 여기에 + 타임스템프로 암호화하여 유효 인증 시간을 수분/수초 이내로 검증하여 통과시키려고도
생각해 봤지만 현재 시스템 분포가 워낙 넓다보니 파라미터 넘기는 곳을 전부 넘기는 부분이 쉽지 않지만 최소한이 아닐까도합니다..