게시판 즐겨찾기
편집
드래그 앤 드롭으로
즐겨찾기 아이콘 위치 수정이 가능합니다.
특정 페이지 직접 접근 어떻게 막으시나요?
게시물ID : programmer_23417짧은주소 복사하기
작성자 : 달콤아시타
추천 : 0
조회수 : 2813회
댓글수 : 9개
등록시간 : 2023/09/10 09:36:09

안녕하세요. 제가 조그만한 사이트를 운영 중인데 어떤 나쁜사람이 정상적인 경로가 아닌 브라우저 개발자 모드 콘솔 스크립트 삽입을

통하여 강제 진입을 하고 있어서 어떻게 막을지 고민으로 조언을 얻고자 합니다.

 

예를들어 A 페이지(메인) => B 페이지(상품 정보) => C 페이지(주문) 를 통하여 어떤 상품을 구매해야하는데 어떤 사람은

B 페이지를 거치지 않고 바로 C페이지를 넘어가는 스크립트를 만들어 바로 통과하고있습니다.

B 페이지 에서 C 페이지로 가서는 로그인 되어있는자 + 상품코드 + 리퍼러를 체크하는데 F12를 눌러 나오는 브라우저에서 

바로 A에서 C로가는 스크립트(파라미터 포함)를 만들고 바로 실행하여 이동하고 있습니다..

CORS를 피하려고 콘솔에서 하는데 이에 스크립트 헤더 리퍼러까지 기재하고,,

이에 고민중인데.. 다른 큰 규모의 사이트들은 어떻게 방어하고 있으며 참고가 될만한 부분이 있을까 합니다.

제가 고민한 부분은 아래와 같은데 신규 기술을 적용하더라도 레거시 시스템에 적용해야 하므로 쉽지 않을 것 같습니다..

 

1. 리퍼러 체크 

 => 스크립트 헤더 변조로 서버 리퍼로 체크 불가?

2. 토큰 기반 인증

 => 토큰 인증을 하더라도 토큰 생성 타이밍이 고민입니다. 지금 운영 중인곳은 로그인을 세션 기반으로 인증하는데 이 토큰이

    단순 페이지 인증용이라 DB 접근도 부담스러운데 어느 시점에 생성하여 C 페이지에서 인증 시킬지도 고민입니다.

3. 파라미터 암호화

 => 예를 들어 상품코드가 A 라하고 여기에 + 타임스템프로 암호화하여 유효 인증 시간을 수분/수초 이내로 검증하여 통과시키려고도

    생각해 봤지만 현재 시스템 분포가 워낙 넓다보니 파라미터 넘기는 곳을 전부 넘기는 부분이 쉽지 않지만 최소한이 아닐까도합니다..

전체 추천리스트 보기
새로운 댓글이 없습니다.
새로운 댓글 확인하기
글쓰기
◀뒤로가기
PC버전
맨위로▲
공지 운영 자료창고 청소년보호