안드로이드, 아이폰 애플리케이션과 웹이 있을 때 일단 애플리케이션 상에서만 회원가입을 받는

 
Dongmin Kim

안드로이드, 아이폰 애플리케이션과 웹이 있을 때
일단 애플리케이션 상에서만 회원가입을 받는다고 하였을 경우
휴대폰 인증이나 이메일 인증과 같은 수단이 없을 때
UUID 만으로 무작위 spoofing 가입을 막을 수 있을까요?

또한 api 는 외부에 노출되어 있는데 이 api 가 노출된 경우 게시글 쓰기 같은 경우
그 형식만 알면 자동으로 무작위 글쓰기가 가능할텐데요…
이런식의 요청을 막는 방법이 있을까요?

일단 회원가입 만이라도 막고자 해도 가입시 UUID 를 저장을 하고 재 가입시 이미 등록된 UUID 로는 가입이 불가하도록 한다 하여도 UUID 필드 부분을 무작위로 변형시켜 가입을 시도할 수도 있을 것 같구요.

저의 어플리케이션에서만 요청이 오도록 할 수 있는 방법이 있을까요?

CSRF 토큰이 이런 곳에 사용되는 것인지요? CSRF 토큰은 서버 측에서 페이지를 만들어 보여줄 때는 가능하지만 서버와 완전 독립적으로 동작하는 이런 애플리케이션이나 웹앱의 경우 안되는 것으로 알고 있는데 제가 잘못 알고 있는 것인지요?

api 의 end point 는 누구나 분석을 통해 얻을 수 있고 또한 아예 rest api 를 공개하는 곳도 많은데요… 일단 이런 도배의 경우 단말에서 보내든 자신의 커스텀한 로직에서 보내든 open api 형식이라 생각하고 서버 자체에서 도배성 글에 대한 정책으로 대응해야 하는거죠? 글 등록은 3분마다 한 번씩 가능하고 또한 동일한 내용의 글을 반복적으로 올리지 못하게 하고 스팸성 글을 등록시 계정을 블록시키는 정책을 통해서 막아야 하는거죠? 신고 시스템과 함께…

그럼 회원 가입 부분만 무작위로 못되게 하면 어느정도 가능할 것 같은데요..
휴대폰 번호나 이메일 인증이 없는 시스템의 경우
가입은 애플리케이션을 통해서만 받는다고 할 경우
UUID 값 단말의 모델 값, 플랫폼 정보, 버전 정도의 기기 정보를 통해 해당 단말에서 가입을 했고 해당 단말은 더 이상 가입이 불가 하도록 할 수 있는 방법이 있을까요?
UUID 를 저장하고 해당 UUID 가 있을 경우 가입이 불가하도록 한다치면
UUID 를 조작하여 signup api 로 요청을 보내면 무작위 가입이 가능할 것 같은데요…
이것에 대한 대처 방안이 있을까요?

Advertisements