STUDY/Web

CSRF, Cross Site Request Forgery

sinawi95 2023. 9. 4. 06:32
728x90

교차 사이트 요청 위조

이용자가 자신의 의지와는 무관하게 공격자가 의도한 행위를 특정 웹사이트에 요청하게 만드는 공격.
임의 이용자의 권한으로 임의 주소에 HTTP 요청을 보낼 수 있는 취약점

공격자가 작성한 악성 스크립트(HTTP 요청을 보내는 코드)를 이용자가 실행해야함

  • HTML tag 혹은 javascript로 작성.

 

ex 1) HTML tag: img, form

두개의 태그를 사용해 HTTP 전송을 보내면 HTTP 헤더(쿠키)에 인증정보가 포함됨
<img src="~" width=0px, height=0px>

  • 보이지 않는 이미지 태그를 생성하고 src에 값을 넣어 요청

ex 2) javascript:

/* 새 창 띄우기 */
window.open('~');
/* 현재 창 주소 옮기기 */
ocation.href = '~';
location.replace('~');
  • 새창을 띄우고 보이지 않는 곳으로 이동한뒤 특정 사이트 접속
저작자표시

'STUDY > Web' 카테고리의 다른 글

SQL Injection  (2) 2023.09.04
XSS, Cross site scripting  (0) 2023.09.04
SOP & CORS  (0) 2023.09.04
Cookie & Session  (0) 2023.09.04
배포 자동화 (4) HTTPS 적용 및 Nginx 설정  (2) 2022.01.04

'STUDY/Web'의 다른글

  • 현재글CSRF, Cross Site Request Forgery

관련글

티스토리툴바