webhacking
-
[WEBHACKING] CSRF에 대해서# 웹해킹 공부중 2020. 12. 3. 15:35
1. CSRF란? CSRF는 Cross-Site Request Forgery의 약자로 다른 사이트에서의 변조된 요청을 의미한다. 해당 공격은 공격자가 피해자의 권한으로 특정 행위를 하도록 인자값들을 구성해서 피해자가 본인도 모르게 본인의 권한으로 해당 사이트에 요청을 보내 하도록 하는 공격이다. 예를들어 패스워드를 변경한다던지 포인트를 다른 사람에게 선물하는 등 해당 사용자의 권한으로 할 수 있는 것들을 사용자 몰래 하게된다. 위와같은 코드를 피해자가 읽을만한 그리고 HTML 코드가 동작하는 곳에 입력해두고 사용자들이 해당 글을 읽으면 "target.com"으로 사용자 모르게 요청이 전송된다. 이런 공격이 가능한 이유는 해당 도메인으로 요청을 보낼 때 브라우저는 그 도메인에 대한 세션을 request에 ..