CSRF ( Cross Site Request Forgery )

※ 무분별하게 또는 악의적으로 사용하게 되면 법적 처벌을 받을 수 있습니다. 함부로 사용하지 마세요. 

CSRF ( Cross Site Request Forgery )

정의

• 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정, 삭제, 등록 등)를 특정 웹사이트에 요청하게 하는 공격
• 사이트 간 스크립팅(XSS)을 이용한 공격이 사용자가 특정 웹사이트를 신용하는 점을 노린 것이라면,
• CSRF는 특정 웹사이트가 사용자의 웹 브라우저를 신용하는 상태를 노린 것
• 일단 사용자가 웹사이트에 로그인한 상태에서 사이트간 요청 위조 공격 코드가 삽입된 페이지를 열면, 공격 대상이 되는 웹사이트는 위조된 공격 명령이 믿을 수 있는 사용자로부터 발송된 것으로 판단하게 되어 공격에 노출됨
• Client Side 공격 기법

사례 

• 유명 경매 사이트인 옥션에서 발생한 개인정보 유출 사건에서 사용된 공격 방식 중 하나

공격 목적

• 권한 상승
• 제품 결제
• 웹 정보 위변조 등

공격 방법

• 정상적인 웹 패킷을 분석
• • Burp Suite, Paros 등 프록스 프로그램 이용
• 분석한 결과로 만들어낸 악성 스크립트가 담긴 패킷 생성용 페이지 업로드
• 업로드한 페이지로 피해자를 유인
• • 사회공학적 기법 ( e-mail, 메신저, 링크 등 )
  • XSS를 통한 자동 공격
  • iframe 등 태그를 이용해 은밀성 최대화
• 피해자는 자기도 모르게 피해자의 권한으로 사용 가능한 서비스를 행동(결제 등)

방어 방법

• 중요 정보 변경이나 게시물 작성시 사용자 재확인
• captcha, 토큰 정보 등 유동적인 값으로 인증