크로스 사이트 요청 변조(CSRF)

 

CSRF 공격은 XSS와 유사하지만 최종 공격 대상과 방법에서 차이점이 있음

XSS는 사이트의 결함을 이용해 악성 스크립트를 심어 놓습니다. 다른 방문자가 악성 스크립트가 있는 페이지에 접근시 악성 스크립트가 실행되며 스크립트는 쿠키와 같은 정보를 공격자 서버로 전공합니다. 공격자는 이 정보를 사용해 방문자로 로그인해 여러 가지 사용자 정보를 탈취할 수 있게 됩

 

점검방법

등록 및 변경 등의 데이터 수정 기능의 페이지가 있는지 조사한다.

데이터 수정 페이지에서 전송되는 요청(Request)을 취득 후에 재송하여 정상적인 데이터 수정의 기능이 재수행 되는지 점검

 

조치방안

데이터를 등록, 수정하는 기능에서 단순한 사용자의 인증이나 사용 권한에 대한 체크 이외의 데이터에 대한 등록, 수정 기능 수행 여부를 체크할 수 있도록 구현

 

 

참고 페이지

http://cleverdj.tistory.com/108

http://blog.daum.net/sysnet924/277

http://tsdn.tabslab.com/ko/tabswebshield/1.0/html/49db1b6e-2342-466e-b167-5f912b5233d2.htm

http://rokmc843.wordpress.com/2011/04/18/15-%ED%81%AC%EB%A1%9C%EC%8A%A4%EC%82%AC%EC%9D%B4%ED%8A%B8%EB%A6%AC%ED%80%98%EC%8A%A4%ED%8A%B8%EB%B3%80%EC%A1%B0csrf/

http://baeg.tistory.com/103

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です