차이
문서의 선택한 두 판 사이의 차이를 보여줍니다.
다음 판 | 이전 판 | ||
tech:csrf [2012/10/04 00:29] – 새로 만듦 V_L | tech:csrf [2017/06/14 00:45] (현재) – V_L | ||
---|---|---|---|
줄 1: | 줄 1: | ||
+ | {{tag> | ||
+ | ======CSRF (Cross Site Request Forgery )====== | ||
+ | |||
+ | 공격자가 작성해 놓은 악성스크립트 [ 사이트에서 제공하는 기능을 피해자의 웹 브라우저에서 요청 ] 을 통해서 일어나는 악의 적인 공격 방식. | ||
+ | 피해자는 공격자가 게시한 글을 읽었을 때 악성스크립트에 의한 요청이 서버로 보내지게 되고 서버는 피해자의 권한 내에서 해당 악성 스크립트 요청을 처리하게 된다. | ||
+ | |||
+ | |||
+ | - Cross Site Scripting (XSS) 취약점이 없도록 확인 | ||
+ | - 웹 클라이언트로부터 전달된 세션 토큰의 진위성을 확인 | ||
+ | - 단순한 세션 토큰만을 이용한 권한 부여 금지 | ||
+ | - 중요한 기능인 경우에는 email이나 전화, sms등을 이용하여 재인증을 요구 | ||
+ | - GET방식 보다는 POST방식을 사용을 권장하나 POST방식으로 사용하더라도 보안성이 크게 향상되진 않음. POST방식도 CSRF가 가능하다. | ||
+ | - " | ||
+ | - 중요한 기능에 대한 Request가 발생할 경우 중복으로 확인을 함( 수정하겠습니까? | ||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||
+ | * http:// | ||
+ | * http:// | ||
+ | |||
+ | |||
+ | ^ 누구나 수정하실 수 있습니다. | ||
+ | |||