CSRF (Cross-Site Request Forgery)
1. CSRF는 교차 사이트 요청 위조를 의미함.
2. 공격자가 사용자의 신뢰를 악용해, 사용자가 의도하지 않은 요청을 서버에 보내도록 만드는 보안 취약점임.
3. 사용자가 웹사이트(A)에 로그인한 상태에서 악성 링크를 클릭하거나 스크립트를 실행할 때 발생함.
4. 서버는 사용자가 보낸 요청으로 착각해 작업을 수행하게 됨.
작동 원리
1. 사용자가 웹사이트(A)에 로그인해서 세션을 유지 중임.
2. 공격자가 악성 링크를 포함한 이메일이나 메시지를 사용자에게 보냄.
3. 사용자가 해당 링크를 클릭하면, 공격자가 의도한 요청이 사용자의 세션 정보와 함께 서버로 전송됨.
4. 서버는 요청을 정상적인 사용자 요청으로 간주하고 처리함.
대응 방법
1. CSRF 토큰 사용: 각 요청에 유일한 토큰을 포함해 서버에서 유효성을 검증함.
2. Referer 검증: 요청의 출처를 확인해 올바른 출처에서만 요청을 처리함.
3. SameSite 쿠키 설정: 브라우저가 다른 도메인에서 요청할 때 쿠키를 포함하지 않도록 설정함.
4. HTTP 헤더 검증: 요청 헤더에 포함된 정보를 확인해 정상적인 요청인지 판단함.
출처 : ChatGPT
'CS' 카테고리의 다른 글
| JAR와 WAR (1) | 2025.01.26 |
|---|---|
| 상태성(Stateful)과 무상태성(Stateless) (0) | 2025.01.25 |
| HTTP, HTTPS (0) | 2025.01.15 |
| JWT (JSON Web Token) (1) | 2025.01.14 |
| API Key (0) | 2025.01.13 |