시작하기 앞서,
티스토리는 방문자에게 안전하지 않은 공간입니다.
기본적으로 XSS나 SQL injection, 계정 스푸핑 등은 잘 막고있다만
CSP, Contents Security Policy,가 안전하지 않게 설정되어있고
관리자로서 본인 블로그의 스킨(HTML + JS)을 편집하거나 게시글에 Raw HTML(+JS) 코드를 삽입할 수 있어
악의적인 관리자라면 충분히 악성 행위를 할 수 있는 잠재 위험을 가지고 있습니다.
(의심스러운 티스토리 블로그에 여럿 다닌 이후로, 다른사람 티스토리 블로그는 절대 안들어갑니다)
또한 반복적으로 패킷을 전송할 경우
별도로 검증절차가 존재하지 않아 성공적으로 요청을 보낼 수 있습니다.
(e.g. 댓글 달기, 좋아요 등)
특히 댓글... 씨바 그지깽꺵이같은 반복 쓰레기 댓글...
캡챠 기능을 넣으면 뭐합니까 ㅆㅂ 클라이언트단에서 검증하면 그게 의미가 있나요
거꾸로바지 개사과 계엄도 아니고 진짜... 서버단에서 검증을 해야하는거 아닌가요
어이와 얼탱이가 함께없는 그런 행동입니다 카카오...
이에 현 블로그에서는 CSRF를 통하여 프론트단에서 정보를 수집하고 있습ㄴ디ㅏ.
0. 수집의 목적
- 트래픽 분석
구글 / 네이버 / 다음 검색엔진의 크롤링 봇의 경우 패턴이 명확합니다. 검색 최적화, 검색 표출 여부 등을 점검할 때 봇 트래픽을 추적하여 운용의 편의성을 높이고 있습니다.
또한, 일반 접속자의 지역별 분포, 검색 환경의 추가정보 획득 (네이버, 다음에 한함), 게시글 별 머무르는 시간, 게시글 간 점프, 블로그 내 검색이력 추적 등 일반 사용자의 행위를 추적하여 게시글 독자의 데이터를 획득하고 있습니다. 그리고, 이러한 행위 패턴 분석을 통해 악성 사용자를 구분해내고, 획득한 IP주소로 차단하거나 블로그를 폐쇄하는등 정보주체로서의 권리행사에 활용하고 있습니다.
마지막으로, 반복성 / 홍보성 댓글와 같이 뚜들겨 패버리고싶은 유저의 트래픽 분석 및 그들이 이용하는 (암적) 서비스의 구조나 메커니즘을 파악하는데 활용하고 있습니다.
예시: https://thewanderer.tistory.com/15?a=2
( 현재는 대상 트래픽 중 다음검색 크롤러가 포함되어버려 검색엔진에서 제외되므로 중단함 )
제가 알던 지인을 제외하면 특정인임을 유추할 수 있는 수준의 정보를 수집하고 있지 않습니다. 이에 정상 사용자 범위에 속하는 접속자를 개인 수준으로 추적하는데 활용하지 않습니다.
1. 수집하는 정보
- IP 및 연관 정보
IP주소 전체, 접속 지역 (국가, 도, 시), 트래픽 ISP 정보 (통신사 및 AS번호)
- 단말 및 브라우저 정보
접속기기의 정보 (e.g. 운영체제, 제조사, 모델정보) 및 브라우저 정보 (애플리케이션 이름 및 버전)
- 인바운드 패킷 내 URL 정보
Referrer, 현재 URL
- 카카오 계정정보 (optional)
저인지 확인하는 코드가 삽입되어있습니다.
예시
https://www.google.com/ -> https://thewanderer.tistory.com/147
IP : [deducted](Lausanne, Vaud, CH, AS6730 Sunrise GmbH)
Device : MacIntel
User Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/17.4 Safari/605.1.15
(해석: 구글에서 147번 게시글 접속, 스위스 Lausanne, Vaud 접속, 맥 + 사파리 접속)
https://m.search.naver.com/search.naver?query=%EB%A7%A5%ED%94%84%EB%A1%9C+%EC%BC%80%EC%9D%B4%EC%8A%A4+%EA%B0%9C%EC%A1%B0&where=m&sm=mob_hty.idx&qdt=1 -> https://thewanderer.tistory.com/93
Device : Linux aarch64
User Agent: Mozilla/5.0 (Linux; Android 14; SM-F711N Build/UP1A.231005.007; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/114.0.0.0 Whale/1.0.0.0 Crosswalk/28.114.0.25 Mobile Safari/537.36 NAVER(inapp; search; 2000; 12.9.2)
(해석: 네이버 모바일에서 "맥프로 케이스 개조"검색하여 93번 게시글 접속, 삼성 Z플립 3 + 안드로이드 14 + 웨일 브라우저 - 네이버 앱)
(아이폰의 경우 타 브라우저도 Safari 기반이어야 앱스토어에 등록할 수 있으나, 안드로이드는 자체 브라우저 배포 가능)
2. 수집한 정보의 보관 및 관리
- 정보의 수준
접속자의 읍/면/동/리 수준까지 추적할 수 있으나
추가적인 트래픽 발생이 필요한데다 목적달성의 범위를 초과하기 때문에 수집하지 않습니다.
- 정보의 저장
카카오의 NS 도메인을 벗어난 곳으로 전송하게될 경우
법적 분쟁의 소지가 있다고 판단하여 (정보통신망 및 관련법령규) 현재 블로그에 저장합니다.
암호화는 안전하게 적용할 수 있으나 (공개키) 읽기가 번거로워 적용하지 않았습니다.
저장소 접속은 차단하였으나 Script Kiddie 정도라도 충분히 접근할 수 있는 수준으로 낮은 보안수준을 가집니다.
블로그를 분석하는 트래픽을 확인하게되면
소스 obfuscate, 공개키 암호화, 저장소 변경, 블로그 폐쇄 등 조치를 취할 예정입니다.
여기는 해킹 연습 공간이 아닙니다. 시도할 경우 토르 네트워크 상 사람들의 도움을 받아 역추적 들어갑니다. 하지마세요.
삭제는 수동으로 진행하며, 요청하더라도 진행해드리지 않습니다.
Blame Kakao who let this happen, not me.
블로그 플랫폼 바꿔야하는데
바쁘고 귀찮은 관계로 그냥 씁니다.
기본으로 제공하는 트래픽 분석용 정보가 너무 제한적이라
여기서 수집합니다.
끝.