2019. 9. 25. 16:26
CSRF(Cross-site request forgery, 사이트 간 요청 위조): 사용자가 웹사이트에 로그인 상태에서 사이트간 위조 공격 코드가 삽입된 페이지를 열면, 서버는 해당요청을 신뢰할 수 있는 사용자의 요청으로 인지하여 공격을 받을 수 있다.
[공격과정]
1. 서비스 이용자가 로그인하여 쿠키를 발급받는다.
2. 공격자는 링크를 서비스 이용자에게 전달한다. (이메일, 게시판등의 경로)
3. 공격용 html 페이지가 변조된 URL경로를 가진다. ( 변조된 URL 경로는 어떤 공격의 의미를 가지고 있다. )
4. 서비스 이용자가 공격용 페이지를 열면 브라우저는 이미지 파일을 받아오기 위해 공격용 html에 포함되어있는 변조된 URL을 요청한다.
5. 서비스 이용자의 승인이나 인지 없이 변조된 URL요청이 해당서버에 전달된다. 해당 서버는 인증에 있어 단순하게 쿠키로 확인을 하기 때문에 사용자 인증에 있어서 전혀 문제가 없으므로 공격자가 의도한대로 요청이 전달되어 수행된다.