CSRF(Cross Site Request Forgery)공격이라는 것이 있습니다.
이 공격 같은 경우에는 공격을 받는 사람이 해커가 시키는 대로 행동하게 만드는 공격인데요
예를 들면, 페이스북에서 내가 아무 것도 하지 않았는데, 친구추가를 누르게 되는 것입니다.
아래를 보면. facebook으로 돈 10만원준다는 글을 쓰도록 post를 던집니다.
<form action="http://facebook.com/api/content" method="post">
<input type="hidden" name="body" value="여기 가입하면 돈 10만원 드립니다." />
<input type="submit" value="Click Me"/>
</form>
이런 형태의 공격인데 어떤 방식으로 방어를 해야할까요?
1. Referrer 검증
기본적인 방식인데, 얘의 request가 facebook.com에서 온 것인지 확인하는 방법입니다.
2 Security Token 사용
사용자 세션에 토큰을 발급하고 되는 폼에서 토큰이 일치하는지 확인해주는 방법입니다.
-- 참고
CSRF 공격이란? 그리고 CSRF 방어 방법
CSRF 공격(Cross Site Request Forgery)은 웹 어플리케이션 취약점 중 하나로 인터넷 사용자(희생자)가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정, 삭제, 등록 등)를 특정 웹사이트에 요청하게 만드는..
itstory.tk
'개발 > 네트워크 보안' 카테고리의 다른 글
| Database Security & SQL Injection (0) | 2019.12.10 |
|---|---|
| Authentication (0) | 2019.12.10 |
| XSS (0) | 2019.11.03 |
| 간단한 리눅스 명령어들 (0) | 2019.11.03 |
| SQL Injection 하는 법 (0) | 2019.10.06 |