전자금융.
이용자의 거래 입력 수단을 보호하기 위한 금융회사의 대응수단 및 적용범위 등을 점검
평가 예시 :
이용자의 거래정보 입력 보호 범위가 금웅회사가 정한 범위와 달리 적용되어 있거나 또는 일관성 확인.
이용자 거래정보 입력보호에 대응하기 위한 절차 또는 방법 존재 여부 점검.
이용자 입력정보 보호의 대표적 예시로 가상 키패드가 있다.
가상키패드는 마우스 클릭이나 화면 터치등으로 값을 입력하도록 한다.
가상키패드가 사용자 입력을 보호하는 원리는 다음과 같다.
키보드로 데이터를 입력 할 경우 이 입력값이 메모리에 저장되게 된다. 만약 피해자의 기기에 이러한 메모리값을 탈취하는 악성 코드가 심어져 있다고 가정해보자. 그렇다면 키보드로 입력한 값들이 전부 탈취되게 되는 것이다.
가상 키패드의 경우에는 버튼을 클릭 할 경우 숫자가 메모리에 쓰여지는 것이 아닌 암호화된 값이 입력이 되게 되고 요청을 전송할 때 암호화된 값을 전송하게 된다. 서버에서는 이러한 암호화된 값을 해석하여 요청을 처리하게 된다.
이렇게 될 경우 피해자의 메모리의 값을 탈취하여도 공격자는 암호화된 값만을 탈취하게 되고 이로인해 사용자의 입력값을 보호 할 수 있게 되는 것이다.
'모의해킹 및 보안' 카테고리의 다른 글
Longest match rule에 의한 라우팅 테이블 오염 (0) | 2024.09.10 |
---|---|
OWASP TOP 10 ver.2021 (1) | 2024.09.02 |
[금취분평] 불필요한 웹 메서드 허용 (0) | 2023.07.21 |
Iq Spoofing 웹사이트 Post-Exploit (0) | 2023.06.08 |
File Upload 시나리오 : webshell, shoutdown etc. (0) | 2023.06.03 |