토스 페이먼츠 위젯 보안 관련 문의
안녕하세요.
저는 Vue3, Nuxt3를 사용하여 서비스 FO 를 개발하고 있습니다.
이 과정에서 tosspayment widget 방식으로 제품 결제를 진행하고 있습니다.
개발중에 모의해킹 과정을 거쳤는데, 취약점으로 나온 점이
저희 web서버에서 amount(결제 금액)을 토스 페이먼츠 서버로 보낼때, 금액을 탈취해서 변조가능하다고 하네요.
관련해서 저희 web쪽에서 취할 수 있는 보안 조치가 토스페이먼츠에서 제공되는지 궁금합니다.
5 Replies
⏳ 잠시만 기다려주세요! 곧 답변드리겠습니다
오류 문의일 경우 아래 정보를 미리 전달해주시면, 빠른 답변에 도움이 됩니다.
- 주문번호(orderId) :
- 문의 내용 :
(img를 함께 첨부해주시면 도움이됩니다)
* 계약관련 내용은 1544-7772로 문의주세요.
* 주말/공휴일에는 답변이 늦을 수 있어요.
결제는
결제요청 (프론트) 과 결제승인 (서버) 두 단계로 나뉘어져 있습니다.
지금 이야기 하시는 부분은 결제요청 부분 인것으로 보이네요.
결제요청 시 금액을 저장 해두시고
결제승인시 서버에서 승인 API 를 호출할때, 결제요청때와 금액이 다르면 결제승인 API 를 수행 하지 않거나 아니면 취소처리하시면 됩니다.
네 현재, 결제요청시 앞단에서 api로 금액 맞는지 확인을 한번하고, 또 pinia에 저장된 금액과도 대조를 해서 맞을때만 요청 보내게 조치하고 있는데
계속 취약점으로 잡혀서 문의를 드렸어요
이건 국내 모든 결제사가 동일 합니다.
이미 충분히 검증을 거치고 있으신듯 하니,
후 검증 후 취소를 추가하는 방식으로 운영 방안 추가 해주시는 것이 좋을것 같습니다.
❤️ 기술문의 경험이 어떠셨나요?!
간단히 코멘트 남겨주세요! 제품 발전에 큰 힘이 됩니다.