Notice
Recent Posts
Recent Comments
끄적끄적
CSRF ( Cross Site Request Forgery ) 본문
※ 무분별하게 또는 악의적으로 사용하게 되면 법적 처벌을 받을 수 있습니다. 함부로 사용하지 마세요.
CSRF ( Cross Site Request Forgery )
정의
- 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정, 삭제, 등록 등)를 특정 웹사이트에 요청하게 하는 공격
- 사이트 간 스크립팅(XSS)을 이용한 공격이 사용자가 특정 웹사이트를 신용하는 점을 노린 것이라면,
- CSRF는 특정 웹사이트가 사용자의 웹 브라우저를 신용하는 상태를 노린 것
- 일단 사용자가 웹사이트에 로그인한 상태에서 사이트간 요청 위조 공격 코드가 삽입된 페이지를 열면, 공격 대상이 되는 웹사이트는 위조된 공격 명령이 믿을 수 있는 사용자로부터 발송된 것으로 판단하게 되어 공격에 노출됨
- Client Side 공격 기법
사례
- 유명 경매 사이트인 옥션에서 발생한 개인정보 유출 사건에서 사용된 공격 방식 중 하나
공격 목적
- 권한 상승
- 제품 결제
- 웹 정보 위변조 등
공격 방법
- 정상적인 웹 패킷을 분석
- Burp Suite, Paros 등 프록스 프로그램 이용
- 분석한 결과로 만들어낸 악성 스크립트가 담긴 패킷 생성용 페이지 업로드
- 업로드한 페이지로 피해자를 유인
- 사회공학적 기법 ( e-mail, 메신저, 링크 등 )
- XSS를 통한 자동 공격
- iframe 등 태그를 이용해 은밀성 최대화
- 피해자는 자기도 모르게 피해자의 권한으로 사용 가능한 서비스를 행동(결제 등)
방어 방법
- 중요 정보 변경이나 게시물 작성시 사용자 재확인
- captcha, 토큰 정보 등 유동적인 값으로 인증
'해킹' 카테고리의 다른 글
File Upload (0) | 2016.02.26 |
---|---|
SQL Injection (0) | 2016.02.26 |
XSS ( Cross Site Scripting ) (0) | 2016.02.26 |
웹 해킹 기본 (0) | 2016.02.26 |
웹 스캐너 - (3) (0) | 2016.02.20 |
Comments