경고: 로그인하지 않았습니다. 편집을 하면 IP 주소가 공개되게 됩니다. 로그인하거나 계정을 생성하면 편집자가 사용자 이름으로 기록되고, 다른 장점도 있습니다.
편집을 되돌릴 수 있습니다.
이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 저장해주세요.
최신판 |
당신의 편집 |
1번째 줄: |
1번째 줄: |
| Open Web Application Security Project | | Open Web Application Security Project |
− |
| |
− | == Top Ten Overview (2013) ==
| |
− |
| |
− | === A1 ===
| |
− |
| |
− | === A2 ===
| |
− |
| |
− | === A3 ===
| |
− |
| |
− | === A4 ===
| |
− |
| |
− | === A5 ===
| |
− |
| |
− | === A6 ===
| |
− |
| |
− | === A7 ===
| |
− |
| |
− | === A8 Cross-Site Request Forgery (CSRF) (크로스 사이트 요청 변조) ===
| |
− | 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정, 삭제, 등록 등)를 특정 웹사이트에 요청하게 하는 공격을 말한다. CSRF 공격은 로그온 된 피해자의 취약한 웹 애플리케이션에 피해자의 세션 쿠키와 기타 다른 인증정보를 자동으로 포함하여 위조된 HTTP 요청을 강제로 보내도록 하는 것이다. 이것은 공격자가 취약한 애플리케이션이 피해자로부터의 정당한 요청이라고 오해할 수 있는 요청들을 강제로 만들 수 있다.
| |
− |
| |
− | ==== 방어방법 ====
| |
− |
| |
− | ===== Referrer검증 =====
| |
− | 서버에서 검증
| |
− |
| |
− | ===== Security Token사용 =====
| |
− | 로그인 폼등에서 세션에 보안토큰을 생성해서 저장하고, 사용자가 로그인 요청시에 보안토큰과 세션에 저장된 보안토큰이 일치하는지 확인한다.
| |
− |
| |
− | 출처: https://ko.wikipedia.org/wiki/사이트_간_요청_위조
| |
− |
| |
− | === A9 ===
| |
− |
| |
− | === A10 ===
| |
− | 출처: https://ko.wikipedia.org/wiki/OWASP
| |
| [[분류:용어]] | | [[분류:용어]] |