어이가 없다. 쇼핑몰이 이정도로 무방비라니....

ggokka의 이미지

쇼핑몰의 결재금액을 조작하는 방식의 해킹사건이 발생했다고 합니다.

http://news.moneytoday.co.kr/view/mtview.php?no=2006121415334753053&type=2
http://www.donga.com/fbin/output?f=todaynews&code=c__&n=200612150106&main=1

처음에는 보안대책도 없이 운영하는 소규모 쇼핑몰이지 않을까 생각했었는데요
LG생활건강, 티켓링크, 아이리버, YES24 등 대여섯개의 activex들을 설치해대는
유명한 사이트들이 그 대상이었다고 합니다.

도대체 이해가 되질 않습니다. 보안인증서, 안심결제, 안심클릭, 그 많은 패스워드
그러고도 이런 단순한 방식의 해킹사고가 발생하다니요.
결재금액이라도 암호화 했으면 이런방식의 해킹사고는 발생하지 않는거 아닌가요

codebank의 이미지

해당 쇼핑몰들의 대처가 더 재미있겠습니다.
이젠 구멍을 발견했으니 수정은하겠지만 기존에 사용하던 ActiveX와는 다른 무언가를 또 만들어서
사용자 컴퓨터에 깔려고 노력하겠죠.
가끔 인터넷뱅킹을 이용하지만 조회정보 하나만해도 3~4개정도의 요상한 이름의 프로그램들을
띄어놓고 '안심해라'라고 주문을 외우는 듯이 보이지만 그런 프로그램들이 화면에 보일때마다 기분이
안좋아집니다. 쓸데없는 프로그램을 별로 좋아하지 않아서...
(어차피 통장에 돈도 없는데... :-))

그런데 내년인가 IE7에서 ActiveX를 지원하지 않는다는 풍문을 들은것도 같은데 그건 어떻게
되었는지 아시는분 있으신가요?

P.S. : 인터넷 쇼핑몰은 action이나 책사는 것 빼고는 이용해본적이 없네요... 쩝...
------------------------------
좋은 하루 되세요.

------------------------------
좋은 하루 되세요.

익명사용자의 이미지

단지 풍문이고 IE7에서 ActiveX는 계속 지원 합니다. 단지, 웬만한 ActiveX는 전부 사용자의 확인창이 뜨고, "기본 설정"에서는 인증되지 않은 경우는 아예 ActiveX 설치 창이 안뜹니다.

이것보다 문제가 되는 것은 비스타로, ActiveX가 Program Files 아래나 Windows 아래에 못깔립니다.

cjh의 이미지

기사를 보면 물건 선택시에 전달되는 가격 정보를 조작해서 싼 가격에 물건을 샀다는것 같은데,
클라이언트 브라우저에서 폼으로 전달되는 데이터를 믿지 말고 서버측 DB의 가격과 확인만 했다면
막을 수 있을거라 생각이 드는군요.
결재는 그 다음 이야기니까 ActiveX 보안 등등과는 관련이 없는 이야기라 생각이 듭니다.
안심클릭을 해킹했다는 이야기도 아니고...

얼마전에 메시지 게이트웨이 서버에 인증을 피해서 무료로 휴대폰 스팸 메시지 보낸 사람이 입건된
기사도 보았는데, 이것도 마찬가지로 클라이언트에서 보내는 정보를 100% 신뢰했기 때문이 아닌가
싶군요.

--
익스펙토 페트로눔

--
익스펙토 페트로눔

dormael의 이미지

얼마전 까지만 해도 웹 어플리케이션들의 폼간 데이터 전달 및 검증의 위험성을 별로 인식을 못했어서 그런것 같습니다.
서버의 부담을 줄이기 위해 대부분 클라이언트에서만 검증하는 것도 매우 위험하죠.

이건 데이터 '노출'의 문제가 아니라 '조작'이나 '의도하지 않은 데이터'를 만들어 내는 문제로 봐야할것 같습니다.

아마 예전에 만들어 놓았던 소스를 이런 위험성을 인지하고 수정을 했으면 이런일이 발생하지 않았을텐데 그렇게들 잘 안해서 생긴 문제 같습니다.

-- Signature --
青い空大好き。
蒼井ソラもっと好き。
파란 하늘 너무 좋아.
아오이 소라 더좋아.

익명사용자의 이미지

데이타의 모든 필드를 검색하거나 혹은 정규화된 데이타셋의 md5sum만 체크했어도 이런 문제는 없었을텐데요.. 쩝