핸드폰 인증관련 문의
본문
안녕하세요
사이트에서 핸드폰 본인인증을 통해 고객정보를 받고 예약을 진행하는 일을 하고있습니다.
핸드폰 본인인증 완료후 고객정보 입력란으로 넘어가게 되는데 이때 자동으로 인증받은 정보를 이름 전화번호등을 가져와서 수정못하게 막아놨습니다.
그런데 제대로 예약이 된 사람중에 연락시 핸드폰이 "없는 번호"라고 나오는 고객이 있습니다.
분명 예약리스트엔 그 전화번호가 입력이 되어있습니다.
궁금한게 이럴경우 해킹으로 의심을 할수 있는건가요?
저희가 KCB 핸드폰인증을 사용하고 있는데 패스인증 문자인증 외엔 다른 방법이 없습니다.
답변 5
간단하게 막는 방법이 있습니다.
인증 후 전화번호 input 에 데이터가 들어가는 순간부터 해당 input 이 on 상태가 되면
input 을 초기화 하는 스크립트를 넣으면됩니다.
1. 인증 이후 데이터가 input 에 들어감.
2. 이후 개발자도구든 어떤 도구든 input 값이 on 되면 해당 input 데이터 초기화.
전 인증부분은 이렇게 사용하고 있네요.
뒤에서 input hidden안에 값이 있다면,
요소보기등을 통해서 수정이 가능합니다.
수정 못하게 막아놔도 개발자도구로 수정이 가능합니다. 보통은 그렇게 하는 사람은 없을텐데 그렇게 사용자가 수정을 했을수도 있고 다른 방법은 저도 생각이 지금 바로 나는없네요.
해당을 방지하기 위해서는 본인인증하고 세션에도 값들을 저장하고 등록 할때 입력한 값이 세션이랑 동일한지 체크해보시면 됩니다.
혹시 모르니 전화번호는 인증 업체에서 리턴해주는 값으로 저장 시키시고..
인증업체 페이지가 아닌 곳에서 번호를 받게되면 인증과 동시에 readonly로 돌려서 수정을 못하게 막아버리시던지...
아님 클릭시 전체를 지우고 재 인증을 하도록 변경처리 하시는 편이 나으실듯 싶은데요..
이정도로 해킹이라고 하긴....조금 애매 하긴 합니다.
아마도 readonly로 막으신 듯 한데 별로 소용은 없구요
본인인증 완료후 고객정보 입력란으로 넘어가는 페이지 상단에 세션으로 이름 번호를 저장하고
출력만 한 다음, 저장할 때 세션값으로 저장하도록 코드를 변경하시는게 좋아보여요
