본문 바로가기

네이버

네이버 로그인 분석 Python을 이용해 네이버 로그인을 구현하기 위한 분석 내용입니다. 일단 네이버 로그인을 할 때 https 통신을 이용해서 정보를 주고 받기 때문에 Wireshark와 같은 툴을 사용해 패킷을 가져오더라도 암호화가 되어 있어서 그 내용을 알기 어렵습니다. 물론 인증서에 대한 키 값을 알고 있다면 쉽게 복호화가 가능합니다. 또한 Paros나 Burp Suite와 같은 프록시 툴을 사용한다면 중간에 어떤 요청이 들어갔는지를 알아 낼 수 있습니다. 하지만 네이버는 프록시 툴을 이용하더라도 로그인 정보를 알 수 없게 만들었습니다. 여기에서는 어떠한 방식으로 구현을 했는지를 살펴보도록 하겠습니다. 여기에서는 특별한 프로그램을 사용하지 않고 Chrome에서 기본으로 제공하는 기능만을 사용해서 분석을 하겠습니다. ..
네이버 로그인 뜯어보기 다음(Daum) 로그인이나 페이스북(facebook) 로그인의 경우에는 로그인 요청을 보낼 때 아이디와 패스워드 정보를 그대로 전송 합니다. 즉, paros와 같은 프록시 툴을 이용해서 요청을 캡처한다면 아이디와 패스워드 정보를 손쉽게 얻을 수 있다는 위험성이 있습니다. (https 통신을 사용하기 때문에 패킷을 캡처한다고 해서 정보를 볼 수 있진 않습니다.) 네이버(Naver) 로그인 과정에서 보내는 요청을 살펴보면 아이디와 패스워드 정보가 직접적으로 드러나지 않는 것을 확인할 수 있습니다. 즉 네이버의 경우에는 요청을 보내기 전에 클라이언트 측에서 아이디와 패스워드 정보를 암호화해서 요청을 보냅니다. 즉 클라이언트 측에서 암호화를 하기 때문에 대칭키 알고리즘을 사용하게 된다면 암호화를 하는 의미가 없..