CSRF
-
Secure - CSRFJava/Spring 2018. 9. 10. 14:31
크로스 사이트 요청 위조 - CSRF 구매대행, 마일리지조작, 스팸대리발송 등 사용가능 해커가 가장 큰 공을 들여서하는 공격이다.방어하기가 XSS만큼 까다롭다. 중간에 발견되면 고치기가 힘들다. 설계 단계부터 없으면 많은 노력이 필요하다. 사이트가 신뢰하는 사용자를 통해서 해커가 원하는 명령을 대신 수행하게 만든다. 사용자의 의도와 상관없은 행동이 수행된다. CSRF는 약간의 공격으로 막을 수 없고 사이트 전체를 수정해야하기때문에 설계단계부터 설정해야 한다. ex) 추천수 조작 - 이미지태그에 추천수 링크를 경로로 잡고 사용자에게 보이지 않게하고 글을 올린다. 실제 사용자가 수행을 한 것인지 보증이되면 막을 수 있다. -> 막아야 될 곳이 많다. 실제사용자의 보증 -> 토큰이 필요하다. 로그인마다 사용자..