공지사항 글답변

분류필수

이름필수 비밀번호필수 이메일 홈페이지

옵션

html

제목필수

내용필수

웹에디터 시작

> 
 > 
 > 호스팅을 이용하시는 회원님의 사이트내에서 이니시스 카드결제를 사용하시는 고객님들께서는 참고하시기 바랍니다.
> 
> 최근에 웹 서비스 관련 해킹사고가 빈번히 발생되고 있는 시점에 상점 운영자께서는 상점의 결제 관련 페이지 상에 문제발생 할 소지가 있는지 체크를 필요로 하여 다음 내용을 보내오니 반드시 검토하시기 바랍니다.
> 
> 상점의 결제 요청 페이지(INIsecurepay.html)와 결제 처리 페이지(INIsecurepay.asp(또는 php,jsp등)) 사이의 데이타 전달 시에 전달 내용에 대한 위 변조에 대한 검증이 필요합니다.
> 즉, 데이타 내용 중에 특히 price, 상품명, oid와 같이 결제에 중요한 필드에 대해 웹브라우저를 이용하여 데이타를 변조하였을 때 , 웹 서비스 보안에 대해 이니시스에서 검증할 수 없기 때문에 상점 자체적으로 관련 필드의 변조를 체크를 하셔야 합니다. 
> 필히 결제처리 페이지에서 원 상품내용에 대해 위 변조가 발생하였는지 비교 하셔야 합니다.
> 
> 예 )
> 1. 고객이 쇼핑몰에서 상품을 구매 선택 시에 관련 상품정보 및 중요 정보를 세션이나 DB에 저장한다.
> 
> 2. 결제 요청 페이지에서 이니시스 플러그 인이 구동되고 정상적인 처리가 완료되면 해당 데이터가 결제 처리 페이지로 POST되는데 이 시점에 위 변조가 발생할 가능성이 있으므로 결제 처리 페이지 상에 필히 원 상품 정보 및 중요 정보를 세션 값이나 DB에 저장한 값을 비교 하여 변조 유무를 체크하여 처리하도록 한다.
> 
> 주의 ) 단순 로그인 세션 체크는 데이터의 위 변조을 체크할 수 없습니다.
> 
> 정통부, 한국 정보 보호 진흥원 홈 페이지 개발 보안 가이드 (2005년 4월) 내용 중에 다음 내용을 참조 하시기 바랍니다.
> 
> (1) 사용자에게 전달된 값(HIDDEN form 필드, parameter)를 재사용할 경우신뢰해서는 안 된다.
> 주로 회원정보 변경 모듈에 사용자의 key값(예: id)를 hidden form 필드로전송한 후, 이를 다시 받아서 update에 사용하는 경우가 있는데, 공격자가이 값을 변경할 경우 다른 사용자의 정보를 변경할 수 있는 취약점이 존재한다.
> 
> ◆ 점검방법 
> : HTML 소스에서 FORM 필드 확인 후, 해당 값이 어떻게 사용되는지를 소스에서 확인해야 한다.
> 
> ◆ 조치방법 
> : 해당 값의 무결성을 검사할 수 있는 루틴(예, 해쉬값 비교)의 추가 또는 서버 세션을 사용한다.
> 
> 케이엔아이시스템을 이용해 주셔서 감사합니다.
 > 
 >

웹 에디터 끝

링크 #1

링크 #2

파일 #1

파일 #2

자동등록방지

자동등록방지 숫자를 순서대로 입력하세요.

취소

공지사항 글답변