CSRF (Cross Site Request Forgery )

공격자가 작성해 놓은 악성스크립트 [ 사이트에서 제공하는 기능을 피해자의 웹 브라우저에서 요청 ] 을 통해서 일어나는 악의 적인 공격 방식. 피해자는 공격자가 게시한 글을 읽었을 때 악성스크립트에 의한 요청이 서버로 보내지게 되고 서버는 피해자의 권한 내에서 해당 악성 스크립트 요청을 처리하게 된다.

  1. Cross Site Scripting (XSS) 취약점이 없도록 확인
  2. 웹 클라이언트로부터 전달된 세션 토큰의 진위성을 확인
  3. 단순한 세션 토큰만을 이용한 권한 부여 금지
  4. 중요한 기능인 경우에는 email이나 전화, sms등을 이용하여 재인증을 요구
  5. GET방식 보다는 POST방식을 사용을 권장하나 POST방식으로 사용하더라도 보안성이 크게 향상되진 않음. POST방식도 CSRF가 가능하다.
  6. "Referrer"등의 Header를 이용하여 경로를 검사
  7. 중요한 기능에 대한 Request가 발생할 경우 중복으로 확인을 함( 수정하겠습니까? 삭제하겠습니까? 등등 )
누구나 수정하실 수 있습니다. 문법은 Formatting Syntax참조하세요.

역링크