안녕하세요.
작업 중인 프로젝트의 패킷 보안 관련하여 질문이 있습니다.
별 다른 처리를 하지 않아도 패킷 리플레이 공격에 안전한지 궁금합니다.
감사합니다.
안녕하세요 개발자님,
문의하신 내용 답변드립니다.
요청을 보낼 때에는 파라미터를 포함하여 시그니처 암호화가 이루어지기 때문에 기존에 보냈던 요청 파라미터 내에 정보를 변조한 뒤 다시 보내는 행위는 방지됩니다.
기본적으로 클라이언트 sdk 로직과 리퀘스트 형식이 공개되지 않기 때문에 동일한 헤더와 동일한 파라미터, url을 알기는 어렵습니다.
이때 어렵게나마 완전히 동일한 헤더, 동일한 파라미터로 url을 파악하고, 동일하게 보내게 되면 요청 자체는 전송이 됩지만, 요청을 보냈던 시간과 서버의 시간을 비교하여 체크하고 있기 때문에 유효한 시간이 지난 요청은 허용되지 않습니다.
시간에 기반한 요청 검사 방법에 대해서는 보다 고도화된 방법으로 개선하고자 내부적으로 개선 검토가 진행중에 있어 참고하여 주시면 감사하겠습니다. :D