CSRF란?
사이트 간 요청 위조(Cross-site request forgery)는 웹사이트 취약점 공격의 하나로, 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정, 삭제, 등록 등)를 특정 웹사이트에 요청하게 하는 공격을 말합니다.
유명 경매 사이트인 옥션에서 발생한 개인정보 유출 사건에서 사용된 공격 방식 중 하나 입니다.
사이트 간 스크립팅(XSS)을 이용한 공격이 사용자가 특정 웹사이트를 신용하는 점을 노린 것이라면, 사이트간 요청 위조(CSRF)는 특정 웹사이트가 사용자의 웹 브라우저를 신용하는 상태를 노린 것입니다. 일단 사용자가 웹사이트에 로그인한 상태에서 사이트간 요청 위조 공격 코드가 삽입된 페이지를 열면, 공격 대상이 되는 웹사이트는 위조된 공격 명령이 믿을 수 있는 사용자로부터 발송된 것으로 판단하게 되어 공격에 노출됩니다. 즉 XSS는 script를 이용한 공격을 할 수 있고 CSRF는 HTML을 이용한 공격이라고 할 수 있습니다.
CSRF 개요
정상적인 요청과 조작된 요청을 서버가 구분하지 못 할 경우 발생하는 취약점으로, 애플리케이션을 이용하는 사용자로 하여금 조작된 요청을 웹 어플리케이션에 전송하도록 유도하여 피해를 발생시킴.
공격 당한 사용자의 권한을 그대로 사용하므로 사용자의 권한 수준에 따라 그 피해 범위가 달라 질수 있으며, XSS 취약점과 무관하게 공격이 가능하나 XSS 취약점과 연계 시 더 공격 가능 범위가 증가
Captcha
요청을 보낸 대상이 사람인지 컴퓨터 프로그램인지를 구별하기 위해 사용되는 방법
자동가입 방지에서 CSRF 방지용으로 많이 사용됨
Token 방식과의 차이점
인증값을 미리 획득 할 수 있는지 여부
Captcha는 이전 페이지에서 인증값에 해당하는 이미지를 전달하고 이미지는 매번 바뀌어 인증값을 미리 획득 할 수 없게 구성되어 있음
인증값을 획득할 수 없으므로 보안상 가장 안전하고 우회가 불가능
관리자가 접근 시 추가적으로 입력해야 하는 번거로움이 있음
'CERTIFICATE' 카테고리의 다른 글
| [모의해킹] 코드게이트 2013년~2015년 Write up 자료 (0) | 2020.03.31 |
|---|---|
| [모의해킹] 해커 지망자들이 알아야 할 Buffer Overflow Attack의 기초 (1) | 2020.03.31 |
| [모의해킹] EP.09 : DDos 공격 (1) | 2019.10.15 |
| [모의해킹] EP.08 : MITM 공격(웹 변조) (0) | 2019.10.14 |
| [모의해킹] EP.07 : 은닉채널 (0) | 2019.10.04 |