[보안] CSRF에 대해서 간단히 설명해주세요.

_1. 

[ CSRF (Cross Site Request Forgery) ]

사용자(희생자)가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정, 삭제, 등록 등)를 특정 웹사이트에 요청하게 만드는 공격

 

_2. 

[ 공격 방법 ]

1. 공격자는 피싱사이트 혹은 CSRF 스크립트가 포함된 이메일를 전송

2. 사용자는 해당 사이트 혹은 메일을 열람

3. 사용자의 권한을 사용하여 공격자가 원하는 CSRF 스크립트 요청이 발생

4. 공격자가 의도한 행위가 실행

 

 

 

_3. 

[ 방어 방법 ]

1. Referrer 검증
   • Back-end 단에서 request의 referrer를 확인하여 domain (ex. *.facebook.com) 이 일치하는 지 검증하는 방법
2. Security Token 사용 (A.K.A CSRF Token)
   • 우선 사용자의 세션에 임의의 난수 값을 저장하고 사용자의 요청 마다 해당 난수 값을 포함 시켜 전송시킵니다. 이후 Back-end 단에서 요청을 받을 때마다 세션에 저장된 토큰 값과 요청 파라미터에 전달되는 토큰 값이 일치하는 지 검증하는 방법

 

 

 

 

---

출처

https://tall-developer.tistory.com/26

CSRF란?

https://itstory.tk/entry/CSRF-%EA%B3%B5%EA%B2%A9%EC%9D%B4%EB%9E%80-%EA%B7%B8%EB%A6%AC%EA%B3%A0-CSRF-%EB%B0%A9%EC%96%B4-%EB%B0%A9%EB%B2%95

CSRF 공격이란? 그리고 CSRF 방어 방법