hi098123소개 페이지

JS Anti-Tampering

목차

목표

다음의 3가지를 제외한 모든 경우를 차단한다면 모두 공격자보다 방어자가 더 적은 노력으로 막을 수 있습니다.

공격자보다 방어자가 더 적은 노력으로 막을 수 있는 방법을 찾아내는것을 목표로합니다.

 

아래 3가지 이외의 방법으로는 뚫리지 않도록 합니다.

  1. JS 코드 재설계:모든 변조 방지가 적용된 스크립트의 "변조 방지 코드를 제거한 대체본을 제작"하여 대체하거나
  2. 고의적인 브라우저 동작 변경:브라우저의 소스코드를 수정하여 처음 설계를 바꾸거나
  3. 메모리 공격:실시간으로 메모리를 건드려 변수(또는 함수)를 교체하는 경우

한번의 보안코드 설계로 더 이상의 비용투자 없이,변조를 방지(광고,기능 우회 등)해보세요.

용어 설명

가능한 것

  1. 사용자측 변조를 방지

    • 은행,대기업 등 사용자의 보안 환경을 향상하기 원하는 경우
    • tempermonkey 등 사용자측 변조를 방지하기 위한 사이트
    • 스트리밍등 고비용 콘텐츠 기업에서의 애드블럭,그리드 우회 등 사용자측 스크립트 삽입을 방지하기 위한 사이트
  2. 데이터/함수등 JS 변조 방지

    • 함수(예:window.getComputedStyle),데이터 값(예:navigator.userAgent,document.cookie 등) 순정값이 아닌 경우 확인가능 (변조 확인)
  3. 사용자측 변수 조회 차단 (Self XSS 방지)

    • 이용자의 콘솔 입력을 통한 주요 데이터 유출 방지
  4. CSP 변조 방지 (알 수 없는 출처 리소스 차단)

    CSP는 변조 프로그램에서 우회가 가능하나,대응방법이 있음.

    현재의 Content-Security-Policy 정보를 조회 가능하며,대조를 통해 거부할 정책이 포함된 경우 로그 또는 동작중지 가능

불가능한 것

다음의 작업은 할 수 없고,하지 않습니다.

  1. 완벽히 난독화 하여 String값 등 을 완벽히 숨기는 작업 (클라이언트 특성)

    코드를 제공하여 실행하는 인터프리터 방식 특성상 값을 완전히 숨기는것은 불가

  2. 개발자 도구를 완전히 사용불가하게 만드는 작업 (클라이언트 특성)

    대부분의 경우 감지는 가능하겠지만 완전히 불가하게 만들기는 불가

  3. 타사 iframe 접근 등 브라우저에서 제한하고 있는 기본 보안 정책 우회 (클라이언트 특성)

    일반적인 브라우저 정책과 반대되는 작업 불가능

  4. 웹(또는 앱)에서 사용하는 내부 API 요청을 사용(변조)하는 경우 (서버 역할)

    클라이언트(JS)를 건너뛰고 HTTP등을 통한 API직접 호출은 검증 확인불가

판매 정보

기업 대상으로만 판매하며,콘텐츠가 부실한 기업에는 판매하지 않습니다.

이 코드는 브라우저에서 자바스크립트를 더 이상 사용할 수 없게되는(호환성을 잃기 전까지) 상황까지 사용가능하며,광고차단을 완벽히 막고 사용자에게 광고 시청을 강제하면 부작용이 발생할 수 있습니다.

따라서,유료 광고 제거 상품을 운영중이고 영상 스트리밍등 높은 유지 비용 컨텐츠에 광고를 넣으려는 경우에 한하여 판매를 하고자합니다.

연락은 우선 anti-tamper에 연락정보를 남겨주시면 됩니다. 비용은 송출 불가했던 광고를 송출가능하게 만드는 방식이기 때문에 그에 비례합니다.

적용에 필요한 사항