OWASP
Open Web Application Security Project
목차
Top Ten Overview (2013)편집
A1편집
A2편집
A3편집
A4편집
A5편집
A6편집
A7편집
A8 Cross-Site Request Forgery (CSRF) (크로스 사이트 요청 변조)편집
사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정, 삭제, 등록 등)를 특정 웹사이트에 요청하게 하는 공격을 말한다. CSRF 공격은 로그온 된 피해자의 취약한 웹 애플리케이션에 피해자의 세션 쿠키와 기타 다른 인증정보를 자동으로 포함하여 위조된 HTTP 요청을 강제로 보내도록 하는 것이다. 이것은 공격자가 취약한 애플리케이션이 피해자로부터의 정당한 요청이라고 오해할 수 있는 요청들을 강제로 만들 수 있다.
방어방법편집
Referrer검증편집
서버에서 검증
Security Token사용편집
로그인 폼등에서 세션에 보안토큰을 생성해서 저장하고, 사용자가 로그인 요청시에 보안토큰과 세션에 저장된 보안토큰이 일치하는지 확인한다.
출처: https://ko.wikipedia.org/wiki/사이트_간_요청_위조