[Security] CSRF (XSRF) Cross-site request forgery

https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)

https://ko.wikipedia.org/wiki/%EC%82%AC%EC%9D%B4%ED%8A%B8_%EA%B0%84_%EC%9A%94%EC%B2%AD_%EC%9C%84%EC%A1%B0

공격 시나리오

  1. 예를 들어 로그인 한 사용자의 글을 삭제 하도록 유도 하고자 한다.
  2. 그 사용자(target)가 사용하는 사이트 주소와 이메일을 손에 넣는다.
  3. 사용자가 계정에 로그인 했다는 가정 하에 또는 로그인 게이트웨이 페이지로 이동 하도록 한다.
  4. <img src=”http://hostname/post/delete/<post_id>”&gt; 를 넣게 되면 사용자 세션(쿠키)를 이용하여 수정을 일으키도록 할 수 있다.(음 그런데 http method가 post인 경우 어찌 하지?)

그럼 어떻게 막나?

http://sitr.us/2011/08/26/cookies-are-bad-for-you.html

졸려…내일 다시 써야겠다…

광고

답글 남기기

아래 항목을 채우거나 오른쪽 아이콘 중 하나를 클릭하여 로그 인 하세요:

WordPress.com 로고

WordPress.com의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

Google photo

Google의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

Twitter 사진

Twitter의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

Facebook 사진

Facebook의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

%s에 연결하는 중