• 목록
  • 아래로
  • 위로

안녕하세요?


주말 잘 보내고 계시는지요? ^^



일부 사이트에서는 글을 작성할 때 POST 전송에서 input 태그가 있음에도 불구하고 개발자도구에서 formdata를 안 나오게 숨겨놓았더군요 ㄷㄷ


formdata를 숨겨놓으면 공격자의 입장에서는 HTML 소스를 보면서 input 태그를 찾을 수밖에 없는거 맞죠??


그누보드 계열 사이트에서는 봇에 의한 악성 광고가 문제되는 경우가 많던데 제가 만들고 있는 사이트에도 적용하고 싶네요~!!


이렇게 formdata를 숨기려면 어떻게 적용하면 되는지 여쭤봅니다 :)



그럼 스포어 회원님들께서도 즐거운 주말 되시구요~


항상 건강하세요오! ^-^



작성자
이니스프리 119 Lv. (2%) 4186530/115200000EXP

Make StudyForUs Great Again!

 

CSVpuymXAAAVVpd.jpg

댓글 6

title: 은메달도다

개발자 도구 Network 탭에서 안보이는건가요? 어떤 방법으로 데이터를 전송하던, Network 탭에는 XHR이 확인될거에요. 데이터를 아예 Client-side에서 처리하는 것이 아니라면 통신 시에 Network 탭을 확인해보세요.

comment menu
2020.03.08. 02:06

신고

"도다님의 댓글"

이 댓글을 신고 하시겠습니까?

이니스프리 작성자 → 도다
profile image

예 정말 이상하지만 소스에서 input 태그는 보이는데 크롬 개발자도구에서는 write_update.php에서 formdata 항목 자체가 안 보이네요 ㅠㅠ

하지만 파폭의 개발자도구에서는 formdata가 보이는군요!

XHR 항목 중에 write_update.php는 없구요 ㅜㅜ

저도 이런 경우는 처음 경험해보네요.

hide form data from developer tools로 구글링하면 뭔가 나오긴 하는데 저도 공부를 더 해봐야겠네요~

그럼 도다 님께서도 좋은 주말 되세요!

감사합니다 ^-^

comment menu
2020.03.08. 15:46

신고

"이니스프리님의 댓글"

이 댓글을 신고 하시겠습니까?

Hanam09
profile image

불가능합니다.

input테그 자체를 숨긴다고해서 찾는건 그리 어렵지 않습니다.

document.getElementsByTagName("input"); 를 사용하면 다 나옵니다;

어떻게든 난독화한다해도 Network 탭에서는 다 나오고요.

굳이 사람을 대상으로 알기 힘들게 한다면... 음...

그리 전송값이 길지 않다면 평소에도 커스텀 해더를 쓰면서 필요한 값을 전송할때 그 해더에다가 Base64인코딩을 해가면서 최대한 알아채지 못하게 하는게 최선이겠군요..

comment menu
2020.03.08. 14:30

신고

"Hanam09님의 댓글"

이 댓글을 신고 하시겠습니까?

이니스프리 작성자 → Hanam09
profile image

소스에서 input 태그를 숨기지는 않았는데... 이상하게 파폭 개발자도구에서는 formdata가 보이지만 크롬 개발자도구에서는 안 보이네요 ㅠㅠ

단순히 POST 전송으로 글을 작성하는 것뿐만 아니라, binary 파일을 전송하는 것까지도 안 보이던데요.

저도 정확히 어떤 이유로 크롬에서 안 보이는지 모르겠네요.

제가 실력이 부족해서 원인을 찾지 못하는 것 같으니 좀 더 공부를 해보겠습니다!

감사합니다 ^-^

comment menu
2020.03.08. 15:49

신고

"이니스프리님의 댓글"

이 댓글을 신고 하시겠습니까?

title: 황금 서버 (30일)humit
profile image

폼 데이터가 숨겨져 있다는 것이 전송을 할 때 일부 input 태그에 해당하는 값이 들어가지 않는다는 것을 의미하는 건가요??

 

그렇다면 onsubmit 함수 부분에서 관련 이벤트를 처리하게 해서 일부 태그에 해당하는 값만 전송하도록 할 수 있습니다.

comment menu
2020.03.08. 18:30

신고

"humit님의 댓글"

이 댓글을 신고 하시겠습니까?

이니스프리 작성자 → humit
profile image

옙 감사합니다! 그런 의미로 말씀드린거 맞아요~! ^^
소스에 input 태그가 있고 파이썬 requests를 이용하여 POST 요청을 해보면 해당 data를 전송하는 것이 분명히 맞는데
이상하게 크롬 개발자도구에서 formdata 항목에 아무것도 보이지 않는 경우가 있네요.
(다만 파폭 개발자도구에서는 잘 보이더군요.)
 
이런 식으로 사이트를 만들어놓으면 아무래도 공격자 입장에서도 당황스러울귀찮을 것 같아서요 ㅎㅎ

요새 마나모아를 비롯한 몇몇 아미나 계열 사이트에 대량의 글폭탄(?)을 투하하는 사례가 종종 있더군요.

이런 공격을 미연에 방지해보려구요 ^^


말씀하신대로 onsubmit 함수 부분을 더 살펴보겠습니다.

그럼 humit 님께서도 즐거운 주말 저녁 되세요!

감사합니다 ^-^

comment menu
2020.03.08. 20:11

신고

"이니스프리님의 댓글"

이 댓글을 신고 하시겠습니까?

권한이 없습니다.
번호 제목 글쓴이 날짜 조회 수
공지 시스템 점검 작업 완료 안내 10 마스터 24.09.05.16:25 2578
공지 [중요] 호스팅 만료와 관련하여 일부 수칙이 변경됩니다. 4 마스터 23.01.14.02:23 10027
공지 [필독] 질문하는 방법 17 마스터 18.02.23.03:09 4944
706 네이버 카페의 게시글 크롤링과 관련하여 질문 드려요 ^^ 7 image 이니스프리 20.04.04.23:33 1639
705 파이썬 Requests과 HTTP 통신에 관하여 이론적으로 궁금한건데요~ 4 이니스프리 20.04.03.15:55 335
704 아이콘 구매와 활용법에 대한 질문 10 해피보이 20.04.02.18:04 515
703 사이트 메인페이지에 갈림길 화면이 뜨게 하는 법에 대하여 어쭈어 봅니다. 5 image 입체그림 20.04.01.19:31 237
702 Cloudflare와 관련하여 질문 드려요 ^-^ 7 이니스프리 20.03.30.14:48 494
701 크롤링 용도로 사용하는 VPS의 트래픽이 얼마나 될까요?? 2 이니스프리 20.03.29.21:02 324
700 안녕하세요ㅠㅠ 위키 URL 리다이렉션 관련 질문입니다 1 김광현 20.03.26.16:33 264
699 그누보드용 회원차단 크롬 확장프로그램을 만들어보려는데요~ ^-^ 7 이니스프리 20.03.24.23:53 303
698 VPS 웹서버 설치 후 보안을 위해 추가로 해야되는 조치에는 어떤 것이 있을까요?? 6 이니스프리 20.03.13.22:46 467
697 페북이나 트위터처럼 태그 속성이 자주 변경되는 사이트의 크롤링은 어떻게 해야 될까요?? 4 이니스프리 20.03.09.00:27 297
브라우저 개발자도구에서 formdata를 숨기는 방법이 있는가요? 6 이니스프리 20.03.07.23:54 2761
695 그누보드5 홈피 관리해주실분 찾습니다. 찰리 20.03.04.23:10 235
694 [파이썬] 윈도우에서 datetime 객체의 invalid format string 에러 3 이니스프리 20.03.04.15:52 1644
693 XE 에디터가 작동하지 않아요 ㅠㅠ 4 image 입체그림 20.03.03.17:30 282
692 VPS 플랜 선택과 관련하여 질문 드립니다 ^-^ 4 image 이니스프리 20.02.28.20:52 363
691 스터디포어스 웹호스팅상에서 비주얼에디터 설치하는 중 오류가 났습니다 ㅠㅠ image 입체그림 20.02.28.14:40 595
690 [해결][CURL/PHP] 스터디포어스서버에서의 PHP CURL에 대한 특정 서버의 잘못된 응답에 대하여 3 Hanam09 20.02.27.15:36 496
689 [파이썬] 웹 페이지 크롤링 시 조건에 따라 보여졌다 안보여지는 class를 조건문으로 사용 하고 싶은데요.. 4 위돈톡애니모 20.02.25.15:19 1419
688 [파이썬] Temporary failure in name resolution에 대해 여쭤봅니다 2 이니스프리 20.02.25.11:50 1064
687 홈서버용 CPU 좀 봐주시면 감사하겠습니다~ ㅠㅠ 7 image 이니스프리 20.02.24.22:40 332