delpho
[보안] CSRF에 대해서 간단히 설명해주세요. 본문
_1.
[ CSRF (Cross Site Request Forgery) ]
사용자(희생자)가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정, 삭제, 등록 등)를 특정 웹사이트에 요청하게 만드는 공격
_2.
[ 공격 방법 ]
1. 공격자는 피싱사이트 혹은 CSRF 스크립트가 포함된 이메일를 전송
2. 사용자는 해당 사이트 혹은 메일을 열람
3. 사용자의 권한을 사용하여 공격자가 원하는 CSRF 스크립트 요청이 발생
4. 공격자가 의도한 행위가 실행
_3.
[ 방어 방법 ]
- Referrer 검증
- Back-end 단에서 request의 referrer를 확인하여 domain (ex. *.facebook.com) 이 일치하는 지 검증하는 방법
- Security Token 사용 (A.K.A CSRF Token)
- 우선 사용자의 세션에 임의의 난수 값을 저장하고 사용자의 요청 마다 해당 난수 값을 포함 시켜 전송시킵니다. 이후 Back-end 단에서 요청을 받을 때마다 세션에 저장된 토큰 값과 요청 파라미터에 전달되는 토큰 값이 일치하는 지 검증하는 방법
출처
https://tall-developer.tistory.com/26
CSRF란?
💡 코드가 보이지 않으시다면 드래그 혹은 오른쪽 아래 🌜 아이콘을 눌러 테마 색을 변경해주세요. 안녕하세요! 키크니 개발자 입니다. 🦒 강의를 보다가 CSRF라는 개념이 나오길래 다시 한번
tall-developer.tistory.com
CSRF 공격이란? 그리고 CSRF 방어 방법
CSRF 공격(Cross Site Request Forgery)은 웹 어플리케이션 취약점 중 하나로 인터넷 사용자(희생자)가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정, 삭제, 등록 등)를 특정 웹사이트에 요청하게
itstory.tk
'CS > 보안' 카테고리의 다른 글
[보안] XSS에 대해서 간단히 설명해주세요. (0) | 2022.09.04 |
---|---|
[보안] SQL Injection이란? (0) | 2022.09.04 |
[보안] JWT와 OAuth의 차이 (0) | 2022.09.04 |