편집
2,440
번
바뀜
편집 요약 없음
Open Web Application Security Project
== Top Ten Overview (2013) ==
=== A1 ===
=== A2 ===
=== A3 ===
=== A4 ===
=== A5 ===
=== A6 ===
=== A7 ===
=== A8 Cross-Site Request Forgery (CSRF) (크로스 사이트 요청 변조) ===
사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정, 삭제, 등록 등)를 특정 웹사이트에 요청하게 하는 공격을 말한다. CSRF 공격은 로그온 된 피해자의 취약한 웹 애플리케이션에 피해자의 세션 쿠키와 기타 다른 인증정보를 자동으로 포함하여 위조된 HTTP 요청을 강제로 보내도록 하는 것이다. 이것은 공격자가 취약한 애플리케이션이 피해자로부터의 정당한 요청이라고 오해할 수 있는 요청들을 강제로 만들 수 있다.
==== 방어방법 ====
===== Referrer검증 =====
서버에서 검증
===== Security Token사용 =====
로그인 폼등에서 세션에 보안토큰을 생성해서 저장하고, 사용자가 로그인 요청시에 보안토큰과 세션에 저장된 보안토큰이 일치하는지 확인한다.
출처: https://ko.wikipedia.org/wiki/사이트_간_요청_위조
=== A9 ===
=== A10 ===
출처: https://ko.wikipedia.org/wiki/OWASP
[[분류:용어]]