CSRF

Creator
Creator
Seonglae ChoSeonglae Cho
Created
Created
2020 May 5 9:27
Editor
Edited
Edited
2024 Sep 7 22:24
Refs
Refs

Cross Site Request Forgery

쿠키에 별도로 설정을 가하지 않는다면, 크롬을 제외한 브라우저들은 모든 HTTP 요청에 대해서 쿠키를 전송
 
사이트간 요청 위조
  • 대상 사이트는 쿠키로 사용자 인증을 수행
  • 피해자는 공격 대상 사이트에 이미 로그인 되어있어서 브라우저에 쿠키가 있는 상태
  • 공격자는 피해자에게 그럴듯한 사이트 링크를 전송하고 누르게 함 (HTTP 요청을 보내게)
 
 
 

방어

1. Referrer 검증
2. CSRF Token 사용 - token을 사용자의 세션에 저장하여 사용자의 모든 요청(Request)에 대하여 서버단에서 검증하는 방법
 
 
 
 
 
 

Recommendations