현재 유료로 판매중이 2개의 매크로를 우회하는데 성공했고요.

그부분에있어서 보안의 취약점을 짚어드리고 여기서 개발하시는분들이 참고하시면 좋겠어요.

아 근데 이거 적어놓으면 지금 쓰고있는 유료매크로 내일부터 돈주고써야할지도 모르겠네요.

돈없어서 우회해서 무료로 레이븐 렙업중인데 ㅋ

인증을 우회하는 과정을 간략하게 적어보자면 이런식이에요.

매크로에서 인증버튼을 누른다

매크로가 인증서버와 인증을 시도한다

스니핑툴로 중간에서 메시지를 수정해 인증을 성공시킨다.

이게 가능한 이유는 한가지에요. 스니핑툴로 메시지를 조작할 수 있다.

그럼 이걸 어떻게 막느냐 스니핑 툴 자체를 막기는 너무 어려워요.

우리가 해야될건 스니핑툴로 메시지를 열어봐도 어떻게 고쳐야할지 방향을 모르게 하는거에요.

인터넷에서 흔히 볼 수 있는 암호화 기법은 안됩니다.

base64로 암호화 하신분이 있더라고요 복호화가 가능해서 제 하드시리얼과 맥주소로 수정해서 사용해봤습니다.

그리고 php서버를 사용하시는 분도 있었는데요. 이분같은경우는 메시지 양식을 처음에 몰라서 애먹었습니다.

예전에 떠돌던 테스트 계정으로 로그인시도하니 로그인은 실패했지만 메시지 양식을 확인해서 수정 후 접속

이런식으로 크랙하는 입장에서 메시지 양식을 파악하기 쉽고 어떻게 수정해야할지 방향이 보인다면 쉽게 뚫립니다.

예전에 저랑 톡주고받으시던 몇분의 개발자들에게 알려드렸던 방법입니다.

우선 서버에 올리시는분들은 암호화를 철저히 하세요. base64같은 널린 암호화 쓰지마세요.

결론 : 직접 나만의 암호체계를 만들어서 크랙커가 메시지를 수정하지 못하도록하자