Hidden Field 조작 취약점 그리고 대응방법은?

안녕하세요? 허니입니다. Hidden Field 조작 취약점에 대해서 알아보고 대응 방법에 대해 알아보도록 하겠습니다. 사이버 해킹에 대해 공부하시는 학생이나 연구원 분이 계시면 도움이 될 것이라 생각합니다.

Hidden Field 조작은 Form의 특정 Hidden Field의 인자를 조작하여 어플리케이션의 비정상적인 작동을 유도하는 공격 기법입니다. 이는 Form Hidden Field에 사용자 계정이나 비밀번호 또는 어플리케이션에서 중요한 의미를 가지는 데이터를 저장하고 이를 서버 측에서 신뢰하여 입력 값 검증을 수행하지 않기 때문에 발생되는 문제점입니다

 

 대응방법
Hidden Field를 이용해서 중요한 정보를 저장하는 것은 위험한 행위입니다. 중요한 정보에 대한 모든 처리는 서버 측에서 이루어질 수 있도록 어플리케이션을 설계하는 것이 바람직하며, 쇼핑 카트와 같이 사용자 측에 특정 정보가 저장되어야 한다면 Cookie를 이용하여 해당 제품의 ID만을 저장하여 가격을 처리할 때에는 서버 측에서 해당 제품의 ID를 이용하여 가격을 산출하도록 처리해야 합니다. 웹 브라우저에서 단순히 보이지 않는다고 사용자가 보지 못하는 것을 절대 아니란 사실을 잊어서는 안 됩니다. 이는 스크립트를 이용해서 오른쪽 마우스를 차단하거나 기타 여러 가지 조치를 수행한다고 해도 변함이 없다. 만약 스크립트를 이용해서 마우스 이벤트를 차단하거나 HTML 소스 보기를 차단했다면 공격자는 웹 프록시를 이용해서 해당 소스를 볼 수 있으며, 해당 이벤트를 처리하는 스크립트를 제거할 수도 있습니다.