[과제] 03주차(2) 로그인 로직 (식별/인증/해시)

모의 해킹 스터디 - 과제 03주차(2) 로그인 로직 (식별/인증/해시)

 

기존 과제에서 사용한 로직 : 식별 / 인증 분리 (with 해시)

모의 해킹 스터디 - 과제 02주차(2) (회원가입/로그인 페이지 구현)

 

식별/인증/Hash를 활용한 로그인 로직 4가지 구현

1. 식별/인증 동시
2. 식별/인증 분리
3. 식별/인증 동시 (with 해시) 
4. 식별/인증 분리 (with 해시)

---

1) 식별/인증 동시

<?php
    require_once("inc/db.php");

    $userID = isset($_POST['userID']) ? $_POST['userID'] : null;
    $pass = isset($_POST['pass']) ? $_POST['pass'] : null;

    // 파라미터 체크
    if($userID == null || $pass == null){
        header("Location: /login.php");
        exit();
    }

    // 회원 데이터 조회 및 일치여부 확인 (아이디 비밀번호 동시 조회)
    $db_conn = db_connect();
    $sql = "SELECT * FROM userTbl WHERE userID= '$userID' and pass= '$pass'";
    $ret = mysqli_query($db_conn, $sql);
	// 일치하는 데이터의 개수를 확인
    $cnt = mysqli_num_rows($ret);

    // 회원 데이터가 없다면 ($cnt == 0)
    // 아이디와 비밀번호가 맞았다면 ($cnt == 1)
    if($cnt != 1){
        // echo '<script>alert("로그인 정보를 찾을 수 없거나 잘못 입력"); history.back(-1)</script>';
        exit();
    }
    // 일치하는 데이터가 있으면 fetch
    $row = mysqli_fetch_array($ret);
    $userName = $row['name'];
    
    session_start();
    $_SESSION['member_id'] = $userID;
    $_SESSION['member_name'] = $userName;

    mysqli_close($db_conn);
    header("Location: /home.php");
?>

• 회원 데이터 조회 및 일치여부 확인 (아이디 비밀번호 동시 조회)
• SELECT * FROM userTbl WHERE userID= '$userID' and pass= '$pass'"
•  $cnt = mysqli_num_rows($ret); 값이 1인지 판단
  • $cnt == 0 : 일치하는 결과 값이 없음 - 로그인 실패
  • $cnt == 1 : 일치하는 결과 값이 존재 - 로그인 성공
    • (값이 존재한다면, 중복되는 값이 없기 때문에 무조건 1)
• 일치하는 데이터가 있는 경우에만 mysqli_fetch_array($ret);를 통해 회원 데이터를 추출

---

2) 식별/인증 분리

<?php
    require_once("inc/db.php");

    $userID = isset($_POST['userID']) ? $_POST['userID'] : null;
    $pass = isset($_POST['pass']) ? $_POST['pass'] : null;

    // 파라미터 체크
    if($userID == null || $pass == null){
        header("Location: /login.php");
        exit();
    }

    // 회원 데이터 조회
    $db_conn = db_connect();
    $sql = "SELECT * FROM userTbl WHERE userID= '$userID'";
    $ret = mysqli_query($db_conn, $sql);
    
    $row = mysqli_fetch_array($ret);
    $cnt = mysqli_num_rows($ret);
    
    // 회원 데이터가 없다면
    if($row['userID'] == null || $cnt == 0){
        echo '<script>alert("로그인 정보를 찾을 수 없거나 잘못 입력"); history.back(-1)</script>';
        exit();
    }
    // 비밀번호 일치 여부 확인
    if($pass != $row['pass']){
        echo '<script>alert("로그인 정보를 찾을 수 없거나 잘못 입력"); history.back(-1)</script>';
        exit();
    }
    $userName = $row['name'];
    
    session_start();
    $_SESSION['member_id'] = $userID;
    $_SESSION['member_name'] = $userName;

    mysqli_close($db_conn);
    header("Location: /home.php");
?>

•  if($row['userID'] == null || $cnt == 0)
  • $row['userID'] == null 조회된 정보가 없음
  • $cnt == 0 일치하는 정보가 0
• 아이디 존재 여부 확인 후
• 비밀번호 일치 여부 확인
  • if($pass != $row['pass']) : 일치하지 않는다면 멈추고, 일치한다면 다음으로
  • 입력된 비밀번호와 DB에 저장된 비밀번호 정보를 대조

 

---

3) 식별/인증 동시 (with 해시)

 

문제 발생

    // 입력 비밀번호 HASH 변환
    $input_pw = password_hash($pass, PASSWORD_BCRYPT);

    // 회원 데이터 조회 및 일치여부 확인 (아이디 비밀번호 동시 조회)
    $db_conn = db_connect();
    $sql = "SELECT * FROM userTbl WHERE userID= '$userID' and pass= '$input_pw'";
    $ret = mysqli_query($db_conn, $sql);
    
    $row = mysqli_fetch_array($ret);
    $cnt = mysqli_num_rows($ret);

    // 회원 데이터가 없다면 ($cnt == 0)
    // 아이디와 비밀번호가 맞았다면 ($cnt == 1)
    if($cnt != 1){
        // echo '<script>alert("로그인 정보를 찾을 수 없거나 잘못 입력"); history.back(-1)</script>';
        exit();
    }

• 순서적인 측면에서 문제가 없는 코드라고 생각되었지만, 계속해서 결과가 원하는대로 나오지 않음.
• 기존 과제 진행시 password_hash($pass, PASSWORD_BCRYPT) 를 이용하여 암호화 함
• password_hash의 사용법에 대한 숙지 부족
  • password_hash ( string $password , int $algo [, array $options ] ) 
    • $algo : 변환 알고리즘의 형태
  • 변환 알고리즘의 형태 ( PASSWORD_DEFAULT , PASSWORD_BCRYPT ) 두가지 중 선택
  • 기존 MySQL의 password() 함수는 단순 해시기능으로 같은 문자열을 입력하면, 매번 같은 해시 결과가 나옴
  • 이로 인해 Rainbow table이라는 미리 만들어진 해시 결과값과 비교하면, 단순 비밀번호는 쉽게 해시 이전 값이 알려지는 취약점이 존재
  • 이런 취약점을 개선하기 위해 비밀번호 전용 해시가 등장하게 되었고, 생성시마다 해시된 결과 값이 달라져서 Rainbow table을 통한 공격이 불가능하게 됨
  • 그것이 password_hash() 함수의 BCRYPT 알고리즘
  • 따라서 같은 함수로 변환을 해도 같은 값이 아닌, 매번 다른 해시값이 나오게 됨
• 입력된 비밀번호를 해시 변환 후 비교하려면 해당 알고리즘이 아닌 다른 알고리즘을 이용하여 삽입해줘야 함

---

4) 식별/인증 분리 (with 해시)

<?php
    require_once("inc/db.php");

    $userID = isset($_POST['userID']) ? $_POST['userID'] : null;
    $pass = isset($_POST['pass']) ? $_POST['pass'] : null;

    // 파라미터 체크
    if($userID == null || $pass == null){
        header("Location: /login.php");
        exit();
    }

    // 회원 데이터 조회
    $db_conn = db_connect();
    $sql = "SELECT * FROM userTbl WHERE userID= '$userID'";
    $ret = mysqli_query($db_conn, $sql);
    
    // 회원 데이터가 없다면
    $row = mysqli_fetch_array($ret);
    $cnt = mysqli_num_rows($ret);
    if($row['userID'] == null || $cnt == 0){
        echo '<script>alert("로그인 정보를 찾을 수 없거나 잘못 입력"); history.back(-1)</script>';
        exit();
    }
    // 비밀번호 일치 여부 확인
    $is_pw = password_verify($pass, $row['pass']);

    if($is_pw === false){
        echo '<script>alert("로그인 정보를 찾을 수 없거나 잘못 입력"); history.back(-1)</script>';
        exit();
    }
    $userName = $row['name'];
    
    session_start();
    $_SESSION['member_id'] = $userID;
    $_SESSION['member_name'] = $userName;

    mysqli_close($db_conn);
	header("Location: /home.php");
?>

• 로그인시에는 입력 비밀번호를 해시 변환해서 비교하는 것이 아님
• password_verify() 로 비교
  • $is_pw = password_verify($pass, $row['pass']);
  • 입력 비밀번호와 해시 변환되어 있는 DB의 비밀번호를 비교
  • 일치하면 True 일치하지 않으면 False 를 반환

---

후기

 

알고리즘 / 함수를 사용할 때는 입력 값과 출력 값에 대한 특징, 과정, 특이사항에 대하여 숙지하고 사용해야 한다는 사실을 다시금 깨달음

• (3) 식별 / 인증 동시 (with 해시) 를 구현하는 과정에서 코드를 잘 못 짠줄 알고 계속해서 삽질을 함
  • 알고보니 사용한 함수가 변환값이 일정하지 않은 것 이었음
• 해시 변환에 대한 이해 부족, 사용한 해시 함수에 대한 숙지 부족

 

 

 

질문 환영, 수정 및 보완에 대한 지적 환영