CSRF
web application security란?
개발자들이 웹사이트, 모바일 어플, 웹 api 등을 만들 때에 해커들의 공격을 막기 위해서 보안은 필수 사항
여러가지 공격들
SQL injection, XSS, CSRF
CSRF
cross site request forgery
악성 스크립트가 담긴 사이트를 열거나 링크를 클릭할 때, 변조된 요청을 보내는 공격이다.
기존의 로그인한 기록을 바탕으로 서버가 클라이언트의 요청을 믿기 때문에 발생한다.
다른 오리진에서 유저가 보내는 요청을 조작하는 것
해커가 직접 데이터를 접근할 순 없다.
공격을 하기위한 조건
1)쿠키를 사용한 로그인
유저가 로그인 했을 때, 쿠키로 어떤 유저인지 알 수 있어야함
2)예측할 수 있는 요청/parameter를 가지고 있어야 함
request에 해커가 모를 수 있는 정보가 담겨 있으면 안됨
막는 방법
1)CSRF 토큰 사용하기
서버측에서 CSRF 공격에 보호하기 위한 문자열을 유저의 브라우저와 웹 앱에만 제공
2) Same-Site cookie 사용하기
같은 도메인에서만 세션/쿠키를 사용할 수 있다.
3)사용하지 않을때 로그아웃하기
출처
코드스테이츠
https://www.imperva.com/learn/application-security/csrf-cross-site-request-forgery/
반응형
'개발 공부 > 네트워크 기초' 카테고리의 다른 글
| Oauth 기본 개념 정리 + im-sprint-auth-oauth 리뷰 (0) | 2021.08.06 |
|---|---|
| Token 개념 정리 + im-sprint-auth-token 리뷰 (1) | 2021.08.06 |
| session 개념, im-sprint-auth-session 리뷰 (0) | 2021.08.06 |
| 쿠키(Cookie), 쿠키를 이용한 Client와 Server 흐름 개념 정리 (0) | 2021.08.06 |
| HTTPS, https 암호화 방법, 공개키, 개인키,hash, salt 기본 개념정리 (0) | 2021.08.05 |
댓글