CSRF Cross-site Request Forgery
개요
웹 애플리케이션 취약점 중 하나로 사용자가 자신의 의지와 무관하게 공격자가 의도한 행동을 하여 특정 웹페이지를 보안에 취약하게 한다거나 수정, 삭제 등의 작업을 하게 만드는 공격방법을 의미한다
예방대책
폼 작성 시 GET보다 POST방식을 사용하고 폼과 해당 입력을 처리하는 프로그램 사이에 토큰을 사용하여 공격자의 직접적인 URL사용이 동작하지 않도록 처리한다.
Referer 로 HTTP헤더 정보 체크.
패스워드 변경 등 민감한 정보를 다룰때 토큰발급하여 토큰없이는 요청거부하는 방법.
CAPTCHA를 이용하여 인증하는 방법.
스프링 컨트롤러 사용 시 RequestMethod 로 GET/POST 구분 정의.
'보안, 시큐어코딩' 카테고리의 다른 글
랜섬웨어 예방 (0) | 2018.12.17 |
---|---|
XSS 크로스 사이트 스크립팅 (0) | 2018.12.17 |
SQL 인젝션 (0) | 2018.12.17 |