[CSRF(Cross-Site request forgery) 기초]
XSS가 자바스크립트를 실행시키는거라면 CSRF는 특정한 행동을 시키는 거다.
CSRF는 사이트간 요청위조로 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정, 삭제, 등록 등)를 특정 웹사이트에 요청하게 하는 공격을 말한다.
웹서버를 공격하는 형태로 사용자를 통해 공격을 한다.
사용자의 권한으로 악성공격 수행. 불특정 다수가 피해를 입는것이 특징이다.
개발자가 폼에서 설정해준 action값을 해커가 원하는 링크로 바꾸어
사용자가 submit을 할때 수정,삭제, 등록등의 행위를 하게 한다.
그리고 파일을 업로드 할경우 개발자가 설정한 루트에 업로드 하지 않고
알아낸 루트로 변경하여 악성 프로그램을 업로드하는 경우가 CSRF공격에 해당된다. (얼마전 이렇게 공격당했다...ㅠㅠ)
또 사용자의 쿠키정보를 가지고 도용하여 개인정보를 가져가는 경우, 사용자가 올린거처럼 게시글을 등록하게 해놓고
이미지 태그의 src를 변조하여 이미지를 클릭했을때 악성사이트로 이동되게 하는 등의 공격이 있다.
'php개발자(백엔드) > PHP 보안' 카테고리의 다른 글
| XSS와 CSRF 방지 모듈 개발-1 (1) | 2017.02.02 |
|---|---|
| 크로스 사이트 스크립팅(XSS) (0) | 2017.01.31 |
| PHP 보안 - 서론 (0) | 2017.01.23 |
