크로스 사이스 리퀘스트 변조
네트워크·보안/정보보안기사
2021. 5. 18.
[정보보안기사] 03.어플리케이션 보안 - CSRF
[정보보안기사] 03.어플리케이션 보안 - CSRF 사용자가 자신의 의지와 무관하게 공격자가 의도한 행위를 특정 웹사이트에 요청하는 공격 XSS와 CSRF의 차이 XSS CSRF 공격대상 Client Server 개요 사용자의 개인정보, 쿠키정보 탈취 요청을 위조하여 사용자의 권한을 이용해 서버에 대한 악성공격 대응방법 Security Token 사용 토큰값과 요청 파라미터에 전달되는 토큰 값 일치 검증 Referrer 검증 같은 도메인 상에서 요청이 들어오지않으면 차단 입력 값 검증 서버측에서 입력값에 대한 필터링 CAPTCHA 사용 - 사용자와 상호처리 기능 적용 - 사용자가 실제 사람인지 봇인지 구별하는 기술 재인증 요구 중요기능의 경우 재인증을 통해 실제 요청 여부 확인