1.    파라미터 변조 대응

ATLAS에서 사용하는 웹 메소드에 대한 웹 보안 처리 방법을 기술한다.

댓글 등록 메소드와 삭제 메소드를 통해 어떻게 처리하는지 알아본다.

1.1.                  댓글 등록

Insert 같은 작업은 프록시 툴이나 해킹 프로그램을 이용하여 등록 자체를 막을 수 있는 방법은 없어 보인다. 왜냐하면 모든 사용자는 포스트의 댓글 권한을 가지고 있기 때문이다.

Insert 같은 작업의 보안은 타인의 ID를 도용하여 등록하는 작업을 막는 것이다.

아래 코드는 클라이언트(javascript)에서 댓글 등록하는 로직이다.

서버(웹 메소드)에서 자바스크립트에서 넘겨준 회원번호 값과 인증세션 값을 비교하여 일치 여부로 타인의 ID로 도용하는 것을 막을 수 있다.

아래 코드는 AjaxService.OnInsertComment 웹 메소드가 서버에서 처리하는 로직이다.

코드에서 보듯이 client에서 유효성 체크하였지만 서버에서도 체크하고 있는 것을 알 수 있다.

위 코드에서 체크한 부분은 client에서 받은 회원번호가 변조되었는지를 검사하는 로직이다.

1.2.                   댓글 삭제

Delete, Update 같은 작업은 해당 작업을 등록한 사람이거나 admin권한을 부여받은 사람만 권한을 가진다.

그러므로 작업 번호와 회원 번호를 확인하여 권한을 줄 지 여부를 결정해야 하는 로직이 필요하다.

아래 코드는 댓글 삭제시 웹 메소드 소스코드이다.

댓글 삭제시 댓글 번호를 파라미터로 받는다.

웹 메소드 내에서 회원 번호를 얻어 비즈니스 로직에 댓글 번호와 회원 번호를 넘겨준다.

결국 프로시저에서 회원 번호와 댓글 번호를 입력 받아 권한이 있는지 여부를 체크해야 한다.

아래 코드는 삭제 프로시저 코드 일부를 발췌하였다.

파라미터로 회원 번호가 추가되었다.

아래 인증쿼리 부분이 삭제 권한을 체크하는 부분이다.

실제 이 댓글을 삭제할 권한이 있는 사람은 포스트 작성자와 댓글을 작성한 회원이 가능하다.

그렇기 때문에 TB_Posts 테이블과 TB_Comment 테이블을 조인하여 권한 여부를 체크한다.

참고로 비회원이 등록한 댓글을 삭제할 경우는 웹 메소드에서 처리하지 않고 팝업 형태로 서버단에서 처리하고 있다. 그와 같은 경우는 결국 memberGuid 가 null이기 때문에 인증 쿼리 내부에서 보듯이 @memberGuid 가 NOT NULL인 경우에만 체크하게 된다.

결국 권한이 없다면 -9를 리턴하게 되고 웹 메소드에서 NOAUTH를 반환하게 된다.

스크립트에서 NOAUTH를 받게 된다면 권한이 없다는 에러를 내려주게 된다.

2.    쿠키 암호화

웹사이트에서 사용되는 쿠키 값의 암호화하는 방식에 대해 알아보자.

아직 웹사이트는 회원정책이 정해지지 않았지만 현재 웹사이트에서 개인 정보를 쿠키로 저장하는 정보는 회원ID, 회원이름, 닉네임, 이메일 정보이다.

이들 정보는 쿠키로 저장하므로 암호화하여 정보를 보호해야 한다.

이 외에 락커룸 번호, 락커룸 Url, 방문자 수(락커룸, 포스트, 강좌) 등이 쿠키로 저장하는 정보이다.

이들 정보들을 암호화 함으로써 악의적인 공격을 방어할 수 있다.

간단히 회원 정보를 암호화하는 과정만 살펴보도록 하겠다.

회원 정보를 암호화하기 위한 포맷은 아래와 같다.