- 6
- 이니스프리
- 조회 수 2651
안녕하세요?
주말 잘 보내고 계시는지요? ^^
일부 사이트에서는 글을 작성할 때 POST 전송에서 input 태그가 있음에도 불구하고 개발자도구에서 formdata를 안 나오게 숨겨놓았더군요 ㄷㄷ
formdata를 숨겨놓으면 공격자의 입장에서는 HTML 소스를 보면서 input 태그를 찾을 수밖에 없는거 맞죠??
그누보드 계열 사이트에서는 봇에 의한 악성 광고가 문제되는 경우가 많던데 제가 만들고 있는 사이트에도 적용하고 싶네요~!!
이렇게 formdata를 숨기려면 어떻게 적용하면 되는지 여쭤봅니다 :)
그럼 스포어 회원님들께서도 즐거운 주말 되시구요~
항상 건강하세요오! ^-^
작성자
댓글 6
도다 
신고
"도다님의 댓글"
이 댓글을 신고 하시겠습니까?
예 정말 이상하지만 소스에서 input 태그는 보이는데 크롬 개발자도구에서는 write_update.php에서 formdata 항목 자체가 안 보이네요 ㅠㅠ
하지만 파폭의 개발자도구에서는 formdata가 보이는군요!
XHR 항목 중에 write_update.php는 없구요 ㅜㅜ
저도 이런 경우는 처음 경험해보네요.
hide form data from developer tools로 구글링하면 뭔가 나오긴 하는데 저도 공부를 더 해봐야겠네요~
그럼 도다 님께서도 좋은 주말 되세요!
감사합니다 ^-^
신고
"이니스프리님의 댓글"
이 댓글을 신고 하시겠습니까?
불가능합니다.
input테그 자체를 숨긴다고해서 찾는건 그리 어렵지 않습니다.
document.getElementsByTagName("input"); 를 사용하면 다 나옵니다;
어떻게든 난독화한다해도 Network 탭에서는 다 나오고요.
굳이 사람을 대상으로 알기 힘들게 한다면... 음...
그리 전송값이 길지 않다면 평소에도 커스텀 해더를 쓰면서 필요한 값을 전송할때 그 해더에다가 Base64인코딩을 해가면서 최대한 알아채지 못하게 하는게 최선이겠군요..
신고
"Hanam09님의 댓글"
이 댓글을 신고 하시겠습니까?
소스에서 input 태그를 숨기지는 않았는데... 이상하게 파폭 개발자도구에서는 formdata가 보이지만 크롬 개발자도구에서는 안 보이네요 ㅠㅠ
단순히 POST 전송으로 글을 작성하는 것뿐만 아니라, binary 파일을 전송하는 것까지도 안 보이던데요.
저도 정확히 어떤 이유로 크롬에서 안 보이는지 모르겠네요.
제가 실력이 부족해서 원인을 찾지 못하는 것 같으니 좀 더 공부를 해보겠습니다!
감사합니다 ^-^
신고
"이니스프리님의 댓글"
이 댓글을 신고 하시겠습니까?
humit 
폼 데이터가 숨겨져 있다는 것이 전송을 할 때 일부 input 태그에 해당하는 값이 들어가지 않는다는 것을 의미하는 건가요??
그렇다면 onsubmit 함수 부분에서 관련 이벤트를 처리하게 해서 일부 태그에 해당하는 값만 전송하도록 할 수 있습니다.
신고
"humit님의 댓글"
이 댓글을 신고 하시겠습니까?
옙 감사합니다! 그런 의미로 말씀드린거 맞아요~! ^^
소스에 input 태그가 있고 파이썬 requests를 이용하여 POST 요청을 해보면 해당 data를 전송하는 것이 분명히 맞는데
이상하게 크롬 개발자도구에서 formdata 항목에 아무것도 보이지 않는 경우가 있네요.
(다만 파폭 개발자도구에서는 잘 보이더군요.)
이런 식으로 사이트를 만들어놓으면 아무래도 공격자 입장에서도 당황스러울귀찮을 것 같아서요 ㅎㅎ
요새 마나모아를 비롯한 몇몇 아미나 계열 사이트에 대량의 글폭탄(?)을 투하하는 사례가 종종 있더군요.
이런 공격을 미연에 방지해보려구요 ^^
말씀하신대로 onsubmit 함수 부분을 더 살펴보겠습니다.
그럼 humit 님께서도 즐거운 주말 저녁 되세요!
감사합니다 ^-^
신고
"이니스프리님의 댓글"
이 댓글을 신고 하시겠습니까?
개발자 도구 Network 탭에서 안보이는건가요? 어떤 방법으로 데이터를 전송하던, Network 탭에는 XHR이 확인될거에요. 데이터를 아예 Client-side에서 처리하는 것이 아니라면 통신 시에 Network 탭을 확인해보세요.