[DreamHack] ClientSide: CSRF

Cross Site Request Forgery (CSRF)

사이트 간 요청 위조. 이용자가 자신의 의지와는 무관하게 공격자가 의도한 행위를 특정 웹사이트에 요청하게 만드는 공격. 임의 이용자의 권한으로 임의 주소에 HTTP 요청을 보낼 수 있는 취약점

 

ex) 이용자의 계정으로 임의 금액을 송금해 금전적인 이득을 취하거나 비밀번호를 변경해 계정을 탈취하고, 관리자 계정을 공격해 공지사항 작성

 

CSRF 공격에 성공하기 위해서는 공격자가 작성한 악성 스크립트를 이용자가 실행해야 함

-> 격자가 이용자에게 메일을 보내거나 게시판에 글을 작성해 이용자가 이를 조회하도록 유도하는 방법

 

 

XSS와 CSRF의 차이

공통점

두 개의 취약점은 모두 클라이언트를 대상으로 하는 공격

이용자가 악성 스크립트가 포함된 페이지에 접속하도록 유도해야 함

 

차이점

공격에 있어 서로 다른 목적을 가짐

XSS

인증 정보인 세션 및 쿠키 탈취를 목적으로 하는 공격

공격할 사이트의 오리진에서 스크립트를 실행

 

CSRF

이용자가 임의 페이지에 HTTP 요청을 보내는 것을 목적으로 하는 공격

공격자는 악성 스크립트가 포함된 페이지에 접근한 이용자의 권한으로 웹 서비스의 임의 기능을 실행

​