Notice
Recent Posts
Recent Comments
Link
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | ||||
| 4 | 5 | 6 | 7 | 8 | 9 | 10 |
| 11 | 12 | 13 | 14 | 15 | 16 | 17 |
| 18 | 19 | 20 | 21 | 22 | 23 | 24 |
| 25 | 26 | 27 | 28 | 29 | 30 | 31 |
Tags
- 네트워크보안
- 워게임
- 비박스
- 해킹
- 알고리즘
- XSS
- WarGame
- network
- 네트워크
- reversing
- 웹해킹
- bee-box
- 소프트웨어보안
- Webhaking
- 소프트웨어
- 시스템해킹
- 시스템
- 순서도
- System
- dreamhack
- TCP
- 모의해킹
- 리버싱
- 드림핵
- Web
- CodeEngn
- 웹
- webhacking
- ftz
- hacking
Archives
- Today
- Total
Without a Break
[Dreamhack] ClientSide: CSRF 본문
ClientSide: CSRF
쿠키
- 이용자의 신원 정보가 포함된 것 => 서명과 같은 역할
- 이용자의 식별 정보가 포함된 쿠키는 요청에 이용자의 권한이 부여돼야함을 의미한다.
CSRF
- CSRF(Cross Site Request Forgery) : 임의의 이용자의 권한으로 임의 주소에 HTTP 요청을 보낼 수 있는 취약점 => 즉, 이용자를 속여서, 의도치 않은 요청에 동의하게 하는 공격을 말한다.
- 공격자는 임의의 이용자의 권한으로 서비스 기능을 사용해 이득을 취할 수 있다.
- CSRF 공격에 성공하기 위해서는 공격자가 작성한 악성 스크립트를 이용자가 실행해야 한다. => 공격자가 이용자를 유도하는 것이 필요
- CSRF 공격 스크립트는 HTML 또는 Javascript를 통해 작성할 수 있다.
- XSS와 CSRF 비교
| XSS | CSRF | |
| 공통점 | 클라이언트를 대상으로 하는 공격으로 이용자가 악성 스크립트가 포함된 페이지에 접속하도록 유도하는 것이 필요 |
|
| 차이점 | 1.인증 정보인 세션 및 쿠키 탈취를 목적으로 하는 공격 2. 공격할 사이트의 오리진에서 스크립트를 실행시킴 |
1. 이용자가 임의 페이지에 HTTP 요청을 보내는 것을 목적으로 하는 공격이다. 2. 공격자는 악성 스크립트가 포함된 페이지에 접근한 이용자의 권한으로 웹 서비스의 임의 기능을 실행할 수 있다. |
'Web > Wargame' 카테고리의 다른 글
| [Dreamhack] csrf-2 (0) | 2022.09.24 |
|---|---|
| [Dreamhack] csrf-1 (0) | 2022.09.24 |
| [Dreamhack] xss-2 (0) | 2022.09.21 |
| [Dreamhack] xss-1 (0) | 2022.09.21 |
| [Dreamhack] ClientSide: XSS (0) | 2022.09.19 |
'Web/Wargame' Related Articles
more
