CSRF

CSRF는 웹 보안 취약점의 한 종류로, 사용자의 동의 없이 웹 애플리케이션에서 특정 행동을 수행하게 하는 공격입니다. 공격자는 사용자가 이미 로그인된 상태에서 악의적인 요청을 보내 사용자의 계정으로 원하는 작업을 수행할 수 있습니다.

CSRF 공격 원리

사용자가 취약한 서버에 로그인된 상태여야 합니다.

공격자가 서버의 세션 정보를 획득해야 합니다.

공격자가 서버에 대한 요청 방식을 알고 있어야 합니다.

사용자가 취약한 서버에 로그인된 상태입니다.

사용자의 브라우저 쿠키에 세션 ID가 저장되어 있습니다.

공격자가 사용자를 악의적인 스크립트가 포함된 페이지에 접속하도록 유도합니다.

사용자의 브라우저가 자동으로 서버에 악의적인 요청을 보내게 됩니다.

 

CSRF 공격의 영향

CSRF 공격은 데이터 변경 요청을 목표로 합니다. 예를 들어 제품 구매, 계정 설정 변경, 레코드 삭제, 비밀번호 변경, 메시지 전송 등의 기능을 악용할 수 있습니다.

CSRF 방어 방법

 - 토큰 기반 인증: 서버에서 생성한 토큰을 요청에 포함시켜 유효성을 검증합니다.

 - Referer 검사: 요청의 Referer 헤더를 확인하여 신뢰할 수 있는 출처인지 확인합니다.

 - SameSite 쿠키 속성 사용: 쿠키에 SameSite 속성을 설정하여 교차 사이트 요청을 제한합니다.