크로스 사이트 요청 포젤리(CSRF) 개요

1340 단어 csrf보안
  • 크로스 사이트 요청 포제리 (CSRF)에 대한 요약.

  • CSRF란?


  • 본래 거부해야 할 무관한 웹 앱으로부터의 요청을 수신·처리해, 유저가 의도하지 않은 처리를 행하게 하는 공격 수법.

  • CSRF 발생 흐름





    CSRF가 초래하는 피해



  • 사용자의 의도하지 않은 웹 앱에서 처리 수행
  • 본래는 로그인 유저만이 허가되는 기사의 투고 처리 등.


  • CSRF에 대한 대책 수단



  • 원타임 토큰의 이용 ※추천
  • 정규의 발신원인지를 할당한 일회성 토큰에 의해 판정한다.
  • 처리 흐름
  • 웹 앱 A는 요청 전에 클라이언트에 대해 일회성 토큰을 생성한다.
  • 클라이언트는 지정된 일회성 토큰을 부여하여 요청을 실행한다.
  • 웹 앱 A는 세션에 저장된 일회성 토큰과 전송된 일회성 토큰이 일치하는지 확인한다(일치하지 않으면 요청을 수락하지 않음).



  • 사용자 재인증
  • 중요한 조작 전에 로그인 인증을 다시 수행하는 단계를 추가하십시오.
  • 사용성이 떨어진다.



  • 리퍼러(참조 URL) 확인
  • HTTP 요청 헤더의 리퍼러를 확인하고 허용할 소스로부터의 요청인지 확인한다.
  • 리퍼러는 재기록 가능.



  • 참고 정보


  • CSRF(크로스 사이트 리퀘스트 포제리)란? 그 구조와 대책 방법에 대해
  • CSRF 대책을 병아리 엔지니어가 정리해 보았다 (수시로 갱신 예정)
  • 좋은 웹페이지 즐겨찾기