nanuminet

가장 정직하고 정성껏 안내 해 드리겠습니다.

공지사항

이니시스 카드결제시 결재정보 변조방지를 위한 웹서비스 보안조치 방안안내

  • 관리자
  • 2006.12.06 15:31:33
  • 6,360
호스팅을 이용하시는 회원님의 사이트내에서 이니시스 카드결제를 사용하시는 고객님들께서는 참고하시기 바랍니다

최근에 웹 서비스 관련 해킹사고가 빈번히 발생되고 있는 시점에 상점 운영자께서는 상점의 결제 관련
페이지 상에 문제발생 할 소지가 있는지 체크를 필요로 하여 다음 내용을 보내오니 반드시 검토하시기
바랍니다.

상점의 결제 요청 페이지(INIsecurepay.html)와 결제 처리 페이지(INIsecurepay.asp(또는 php,jsp등)) 사이의 데이타 전달 시에 전달 내용에 대한 위 변조에 대한 검증이 필요합니다.
즉, 데이타 내용 중에 특히 price, 상품명, oid와 같이 결제에 중요한 필드에 대해 웹브라우저를 이용하여 데이타를 변조하였을 때 , 웹 서비스 보안에 대해 이니시스에서 검증할 수 없기 때문에 상점 자체적으로 관련 필드의 변조를 체크를 하셔야 합니다.
필히 결제처리 페이지에서 원 상품내용에 대해 위 변조가 발생하였는지 비교 하셔야 합니다.

예 )
1. 고객이 쇼핑몰에서 상품을 구매 선택 시에 관련 상품정보 및 중요 정보를 세션이나 DB에
저장한다.

2. 결제 요청 페이지에서 이니시스 플러그 인이 구동되고 정상적인 처리가 완료되면 해당 데이터가 결제 처리 페이지로 POST되는데 이 시점에 위 변조가 발생할 가능성이 있으므로 결제 처리 페이지 상에 필히 원 상품 정보 및 중요 정보를 세션 값이나 DB에 저장한 값을 비교 하여 변조 유무를 체크하여 처리하도록 한다.

주의 ) 단순 로그인 세션 체크는 데이터의 위 변조을 체크할 수 없습니다.

정통부, 한국 정보 보호 진흥원 홈 페이지 개발 보안 가이드 (2005년 4월) 내용 중에 다음 내용을
참조 하시기 바랍니다.

(1) 사용자에게 전달된 값(HIDDEN form 필드, parameter)를 재사용할 경우신뢰해서는 안 된다.
주로 회원정보 변경 모듈에 사용자의 key값(예: id)를 hidden form 필드로전송한 후, 이를 다시 받아서 update에 사용하는 경우가 있는데, 공격자가이 값을 변경할 경우 다른 사용자의 정보를 변경할 수 있는 취약점이 존재한다.

◆ 점검방법
: HTML 소스에서 FORM 필드 확인 후, 해당 값이 어떻게 사용되는지를
소스에서 확인해야 한다.

◆조치방법
: 해당 값의 무 결성을 검사할 수 있는 루틴(예, 해쉬값 비교)의 추가 또
는 서버 세션을 사용한다.