개발/네트워크 보안

CSRF

----___<<<<< 2019. 11. 3. 02:45

CSRF(Cross Site Request Forgery)공격이라는 것이 있습니다.

 

이 공격 같은 경우에는 공격을 받는 사람이 해커가 시키는 대로 행동하게 만드는 공격인데요

 

예를 들면, 페이스북에서 내가 아무 것도 하지 않았는데, 친구추가를 누르게 되는 것입니다.

 

아래를 보면. facebook으로 돈 10만원준다는 글을 쓰도록 post를 던집니다.

<form action="http://facebook.com/api/content" method="post"> 
	<input type="hidden" name="body" value="여기 가입하면 돈 10만원 드립니다." /> 
	<input type="submit" value="Click Me"/> 
</form>

 

 

이런 형태의 공격인데 어떤 방식으로 방어를 해야할까요?

 

1. Referrer 검증

 

기본적인 방식인데, 얘의 request가 facebook.com에서 온 것인지 확인하는 방법입니다.

 

2 Security Token 사용

 

사용자 세션에 토큰을 발급하고 되는 폼에서 토큰이 일치하는지 확인해주는 방법입니다.

 

 

 

 

 

 

 

-- 참고

https://itstory.tk/entry/CSRF-%EA%B3%B5%EA%B2%A9%EC%9D%B4%EB%9E%80-%EA%B7%B8%EB%A6%AC%EA%B3%A0-CSRF-%EB%B0%A9%EC%96%B4-%EB%B0%A9%EB%B2%95

 

CSRF 공격이란? 그리고 CSRF 방어 방법

CSRF 공격(Cross Site Request Forgery)은 웹 어플리케이션 취약점 중 하나로 인터넷 사용자(희생자)가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정, 삭제, 등록 등)를 특정 웹사이트에 요청하게 만드는..

itstory.tk

 

 

 

 

'개발 > 네트워크 보안' 카테고리의 다른 글

Database Security & SQL Injection  (0) 2019.12.10
Authentication  (0) 2019.12.10
XSS  (0) 2019.11.03
간단한 리눅스 명령어들  (0) 2019.11.03
SQL Injection 하는 법  (0) 2019.10.06

'개발/네트워크 보안'의 다른글

  • 현재글CSRF

관련글

댓글

티스토리툴바