CSRF(Cross Site Request Forgery)란?

CSRF(Cross Site Request Foregery)는 웹 애플리케이션에서 정상적인 경로를 요청한 요청과 비정상적인 경로를 통한 요청을 서버가 구분하지 못할 경우 공격자가 스크립트 구문을 이용하여 정상적인 사용자로 하여금 조작된 요청을 전송 하도록 하여 게시판 설정 변경, 회원정보 변경 등의 문제가 발생할 수 있는 취약점이다. 공격자가 공격을 당한 사용자의 권한을 그대로 사용하므로 공격 당한 사용자의 권한 수준에 따라 피해 범위가 달라진다. 악성 사이트를 유도하지 않고 사용이 가능하며 XSS와 헷갈리는 이유는 XSS와 같이 사용해야 훨씬 깔끔하게 피싱 사이트로 유도하는 등의 이점이 존재하기 때문이다.

 

 

 

대응 방안

  - 중요 정보는 쿠키에 저장하지 않는다.

  - XSS 취약점 확인

  - referer 확인

  - 단순한 Session Token만 이용한 권한 부여 금지

  - 정보 변경시 CAPTCHA를 이용하여 인증

  - GET/POST 구분

  - FORM 대신 AJAX를 통한 JSON API만 사용