CSRF Cross-site Request Forgery


개요

웹 애플리케이션 취약점 중 하나로 사용자가 자신의 의지와 무관하게 공격자가 의도한 행동을 하여 특정 웹페이지를 보안에 취약하게 한다거나 수정, 삭제 등의 작업을 하게 만드는 공격방법을 의미한다


예방대책

폼 작성 시 GET보다 POST방식을 사용하고 폼과 해당 입력을 처리하는 프로그램 사이에 토큰을 사용하여 공격자의 직접적인 URL사용이 동작하지 않도록 처리한다. 


Referer 로 HTTP헤더 정보 체크.

패스워드 변경 등 민감한 정보를 다룰때 토큰발급하여 토큰없이는 요청거부하는 방법.

CAPTCHA를 이용하여 인증하는 방법.

스프링 컨트롤러 사용 시 RequestMethod 로 GET/POST 구분 정의.

'보안, 시큐어코딩' 카테고리의 다른 글

랜섬웨어 예방  (0) 2018.12.17
XSS 크로스 사이트 스크립팅  (0) 2018.12.17
SQL 인젝션  (0) 2018.12.17

+ Recent posts