차례:
- 정의-CSRF (Cross-Site Request Forgery)는 무엇을 의미합니까?
- Techopedia는 CSRF (Cross-Site Request Forgery)를 설명합니다.
정의-CSRF (Cross-Site Request Forgery)는 무엇을 의미합니까?
CSRF (Cross-Site Request Forgery)는 신뢰할 수있는 웹 사이트 사용자로부터 무단 명령을 실행하여 수행되는 웹 사이트 악용 유형입니다. CSRF는 웹 사이트에 대한 사용자의 신뢰를 이용하는 교차 사이트 스크립팅과 달리 특정 사용자의 브라우저에 대한 웹 사이트의 신뢰를 이용합니다.
이 용어는 세션 라이딩 또는 원 클릭 공격이라고도합니다.
Techopedia는 CSRF (Cross-Site Request Forgery)를 설명합니다.
CSRF는 일반적으로 브라우저의 "GET"명령을 익스플로잇 포인트로 사용합니다. CSR 위조자는 "IMG"와 같은 HTML 태그를 사용하여 특정 웹 사이트에 명령을 삽입합니다. 그런 다음 해당 웹 사이트의 특정 사용자가 호스트 및 알 수없는 공범으로 사용됩니다. 합법적 인 사용자가 명령을 보내므로 웹 사이트가 공격을 받고 있음을 알지 못하는 경우가 종종 있습니다. 공격자는 자금을 다른 계정으로 이체하거나 더 많은 자금을 인출하거나 PayPal 및 유사한 사이트의 경우 다른 계정으로 송금 요청을 할 수 있습니다.
CSRF 공격은 성공하기 위해 여러 가지 일이 발생해야하기 때문에 실행하기가 어렵습니다.
- 공격자는 리퍼러 헤더를 검사하지 않는 웹 사이트 (일반적인) 또는 리퍼러 스푸핑을 허용하는 브라우저 또는 플러그인 버그가있는 사용자 / 피해자를 대상으로해야합니다.
- 공격자는 대상 웹 사이트에서 양식 제출을 찾아야합니다.이 양식은 피해자의 전자 메일 주소 로그인 자격 증명을 변경하거나 송금을 수행 할 수 있어야합니다.
- 공격자는 모든 양식 또는 URL 입력에 대한 올바른 값을 결정해야합니다. 공격자가 정확하게 추측 할 수없는 비밀 값이나 ID가 필요한 경우 공격이 실패합니다.
- 공격자는 대상이 사이트에 로그인되어있는 동안 사용자 / 피해자를 악성 코드가있는 웹 페이지로 유인해야합니다.
예를 들어, 개인 A가 대화방에서 은행 계좌를 탐색하고 있다고 가정하십시오. 대화방에는 개인 A도 bank.com에 로그인되어 있음을 알게 된 공격자 (Person B)가 있습니다. 인물 B는 인물 A에게 재미있는 이미지를위한 링크를 클릭하도록 유혹합니다. "IMG"태그에는 bank.com의 양식 입력에 대한 값이 포함되어 있으며 이는 개인 A의 계정에서 개인 B의 계정으로 특정 금액을 효과적으로 이전합니다. 자금이 이체되기 전에 bank.com에 개인 A에 대한 2 차 인증이없는 경우 공격이 성공합니다.
