개인이용내역조회 QR코드 URI 중복 호출

[sh0seo]

보안을 위해 URI는 최초 호출에 대해서는 이용내역조회가 가능

그런데 네이버앱의 QR코드는 URI를 두번 호출하고 있음 네이버앱으로 QR코드를 찍으면 앱자체에서 URI를 먼저 찔러본 다음에 사용자에게 보여줄때는 한번 더 확인을 함

즉, 네이버앱 QR코드를 사용하는 사람은 구매내역을 확인할 수 없음. 항상 유효하지 않는 접근 에러가 발생.

[JungByungOk]

http로 연결되는 URL이기 때문에 URL에 대해서 악성코드가 실행되는게 있는지 보안 체크를 한 후에 안전하면 사용자에게 URL을 보여주는 방식은 아닌지 짐작해 봅니다.

(URL 악성코드 탐지 서비스) https://www.virustotal.com/ko/url/a8605386699510c95e969c98aa3e89f12e6cfbb9d37d81332a61e0d9902cbf64/analysis/1548993661/

[sh0seo]

네이버앱 QR이 아닌 다른 QR코드앱을 이용하도록 가이드 한다. ex) kiosk에서 네이버앱의 QR은 지원하지 않습니다. 문구를 추가

[sh0seo]

@bojung-dev @DevelopDestroyer 현재 네이버앱의 QR 기능처럼 QR 스캐너앱에서 두 번이상 호출되는 경우에는 kiosk에서 구매목록 기능을 사용할 수 없는 상태입니다. 이것을 개선하고자 방법을 찾아봤습니다.

결론

• 일회용 구매목록 URI를 이용한 내역 조회 API만 HMAC Key를 이용한 인증방법을 추가
• Tyk에서 일회용 구매목록 URI를 이용한 내역 조회 API는 HMAC Key 인증을 추가
• 위와 같이 하면 QR 코드앱들이 QR 코드에 포함된 URI에 대해 검사를 수행해도 Tyk에서 에러 처리됨
• 테스트를 해보지 못했지만 QR코드앱들이 URI에 대해 검사를 수행하지 못하여 에러가 날지도 모름
• 결과적으로 HMAC Key를 알고 있는 WebManager가 요청한 일회용 구매목록 URI를 이용한 내역 조회 만 정상 처리

to @DevelopDestroyer

• 일회용 구매목록 URI를 이용한 내역 조회 API(https://github.com/dcblock/wiki/wiki/DCCaffeAPI-%EC%A0%95%EC%9D%98#%EC%9D%BC%ED%9A%8C%EC%9A%A9-%EA%B5%AC%EB%A7%A4%EB%AA%A9%EB%A1%9D-uri%EB%A5%BC-%EC%9D%B4%EC%9A%A9%ED%95%9C-%EB%82%B4%EC%97%AD-%EC%A1%B0%ED%9A%8C)의 요청Header에 아래와 같이 HMAC을 적용가능한지 확인
  • tyk에서 HMAC

to @bojung-dev

• tyk에서 HMAC
• HMAC은 admin 권한만 가능
• tyk admin에서 hmac용 비밀키를 추가하고 태호와 공유, 구매목록 URI를 이용한 내역 조회 API에 적용

어떨까요?

[JungByungOk]

@devdotlog Signing HTTP Messages draft-cavage-http-signatures-05 규격의 HMAC 서명을 통하여 클라이언트를 인증하는 방법은 현재 한번만 호출해야하는 URL을 특정 앱에서 두번 호출하는 경우에 대한 해결 방안이 아닐거 같은데요.

해당 URL은 Webmanager를 호출하는 것이고, Webmanager가 CaffeAPI를 호출하기 때문에 HMAC 서명을 통한 인증을 하는 것은 CaffeAPI 입장에서 Webmanager를 인증하는 것이기 때문에 이 문제가 해결되는 것은 아니고 해당 현상은 여전히 존재할 것 같습니다.

제안한 의견을 잘못 이해한거라면 부가 설명 해주세요.

[sh0seo]

@bojung-dev 제가 잘못생각했습니다.

네이버앱 QR의 요청은 다를꺼라고 착가했습니다. ㅠ.ㅠ HMAC 인증을 통한 방법은 잘못된 생각이였습니다.