[용어] CSRF Cross-site request forgery

CSRF Cross-Site Request Forgery 사이트 간 요청 위조 크로스 사이트 요청 위조

웹사이트 취약점 공격의 하나

• 누가 : 최종 사용자가
• 어디서 :현재 권한이 인증된 상태에 있는 웹 어플리케이션에서
• 무엇을 : 원하지 않은 행동을 실행하는 것
• 어떻게 : 공격자가 만든 페이지를 통해 요청값이 변경 됨(target state-changing requests)

1. 피해자는 은행 사이트에 접속하여 로그인하고 쿠키를 발급받는다
2. 피해자는 공격용(malicious) IMG태그를 가진 사이트를 방문한다.
3. 피해자가 Request를 전송한다.
4. 은행의 웹 어플리케이션은 이용자가 로그인 되어 있고 유효한 세션을 가졌다고 검증한다.
5. 피해자는 도통 무슨 일이 일어났는지 모르겠다.

참고

• [위키백과]사이트 간 요청 위조
• [owasp] Cross-Site Request Forgery (CSRF)
• CSRF: Cross Site Request Forgery
• [Spring]16. Cross Site Request Forgery (CSRF)