CSRF

Namlulu·2022년 1월 11일
0

보안

목록 보기
1/2

CSRF - 사이트 간 변경 위조

<form action="http://bank.com/transfer.do" method="POST">

<input type="hidden" name="acct" value="MARIA"/>
<input type="hidden" name="amount" value="100000"/>
<input type="submit" value="View my pictures"/>

</form>

=> 간혹 외국 사이트를 이용하거나 웹서핑을 하다 보면?? 흔치는 않지만 이상한 사이트에서 아이폰 공짜로 준다고 하면서 로그인을 요구하거나 그러는 경우가 있다. 그런 사이트에서 로그인을 하게 된다면, 위 코드처럼 POST 요청을 바로 때려서 계좌이체나 유저가 원치 않은 행위를 시킬 수 있다는 것이다. 그렇기 때문에 CSRF 대비용 토큰이나 보안 정책을 하나 더 대비하는 것이 좋다. CSRF 토큰은 서버에서 세션으로 물고 있는 것이 좋다.

profile
Better then yesterday

0개의 댓글