CSRF

Jelkov Ahn·2021년 12월 28일
0

인증/보안

목록 보기
3/4
post-thumbnail

Web application security

: 개발자들이 웹사이트, 모바일 어플, 웹API 등을 만들 때에 해커들의 공격을 막기 위해서 보안은 필수 사항

여러가지 공격들

  • SQL injection
  • XSS
  • CSRF

CSRF ( Cross Site Request Forgery) 란??

  • 다른 사이트에서 유저가 보내는 요청(request)을 조작(forgery)하는 것
    ex) 이메일에 첨부된 링크를 누르면 내 은행계좌의 돈이 빠져나감.

  • 해커가 직접 데이터를 접근할 수 없다.
    ex) 다른 오리진이기 때문에 response에 직접 접근할수 없음.

CSRF 공격을 하기 위한 조건

  • 쿠키를 사용한 로그인 ( 유저가 로그인 했을때, 쿠키로 어떤 유저인지 알수 있어야함)
  • 예측할수 있는 요청/Parameter를 가지고 있어야함 (reqeust에 해커가 모를수 있는 정보가 담겨있으면 안됨)

GET 요청 POST 요청(body에 내용을 담음) 으로 공격을 할수 있다.

CSRF는 그럼 어떻게 막을까요 ?

  • CSRF 토큰 사용하기
    서버측에서 CSRF공격에 보호하기 위한 문자열을 유저의 브라우저와 웹엡에만 제공

  • Same-site cookie 사용하기
    같은 도메인에서만 세션/쿠키를 사용할 수있다.

profile
끝까지 ... 가면 된다.

0개의 댓글