Seonglae ChoCross Site Request Forgery
쿠키에 별도로 설정을 가하지 않는다면, 크롬을 제외한 브라우저들은 모든 HTTP 요청에 대해서 쿠키를 전송
사이트간 요청 위조
- 대상 사이트는 쿠키로 사용자 인증을 수행
- 피해자는 공격 대상 사이트에 이미 로그인 되어있어서 브라우저에 쿠키가 있는 상태
- 공격자는 피해자에게 그럴듯한 사이트 링크를 전송하고 누르게 함 (HTTP 요청을 보내게)
방어
1. Referrer 검증
2. CSRF Token 사용 - token을 사용자의 세션에 저장하여 사용자의 모든 요청(Request)에 대하여 서버단에서 검증하는 방법
[보안] CSRF(Cross Site Request Forgery)란 무엇인가?
CSRF란 무엇인가?12CSRF(Cross Stie Request Forgery) : 사이트간 요청 위조웹 애플리케이션 취약점 중 하나로 사용자가 자신의 의지와 무관하게 공격자가 의도한 행동을 하여 특정 웹페이지를 보안에 취약하게 한다거나 수정, 삭제 등의 작업을 하게 만드는 공격방법을 의미한다 - 나무위키 정의만 보면 앞서 알아봤던 XSS와 SQL in
![[보안] CSRF(Cross Site Request Forgery)란 무엇인가?](https://www.notion.so/image/https%3A%2F%2Fsj602.github.io%2Fassets%2Fimages%2Fprofile.png?table=block&id=bce477d0-bb66-4c40-a898-1f23b51f5bee&cache=v2)
https://sj602.github.io/2018/07/14/what-is-CSRF/