CSRF, Cross Site Request Forgery

교차 사이트 요청 위조

이용자가 자신의 의지와는 무관하게 공격자가 의도한 행위를 특정 웹사이트에 요청하게 만드는 공격.
임의 이용자의 권한으로 임의 주소에 HTTP 요청을 보낼 수 있는 취약점

공격자가 작성한 악성 스크립트(HTTP 요청을 보내는 코드)를 이용자가 실행해야함

• HTML tag 혹은 javascript로 작성.

 

ex 1) HTML tag: img, form

두개의 태그를 사용해 HTTP 전송을 보내면 HTTP 헤더(쿠키)에 인증정보가 포함됨
<img src="~" width=0px, height=0px>

• 보이지 않는 이미지 태그를 생성하고 src에 값을 넣어 요청

ex 2) javascript:

/* 새 창 띄우기 */
window.open('~');
/* 현재 창 주소 옮기기 */
ocation.href = '~';
location.replace('~');

• 새창을 띄우고 보이지 않는 곳으로 이동한뒤 특정 사이트 접속