referer1 CSRF/XSRF(Cross-Site Request Forgery) 공격과 대응 방안 CSRF/XSRF(Cross-Site Request Forgery)란 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정, 삭제, 등록 등)를 특정 웹사이트에 요청하게 하는 공격이다. 메인 그림 시나리오 1. 김노력이 은행 홈페이지에 로그인을 한다. 2. 은행 홈페이지는 김노력의 계정 정보를 검증하고 토큰을 발급한다. 3. 해커는 합법적인 통신을 가장한 위조 요청을 보낸다. 4. 김노력은 은행에 해커의 요청을 보낸다.(하지만 김노력은 알지 못하지,,) 5. 김노력의 브라우저에 있는 토큰 정보를 받은 은행은 위조 요청을 실행한다. 전제 조건 1. 사용자가 보안이 취약한 서버로부터 이미 인증을 받은 상태여야 한다. 2. 쿠키 기반으로 서버 세션 정보를 획득할 수 있어야 한다. 3. 공격자는 서버를 .. 2022. 9. 2. 이전 1 다음
