[Dreamhack] ClientSide: CSRF

ClientSide: CSRF

쿠키

• 이용자의 신원 정보가 포함된 것 => 서명과 같은 역할
• 이용자의 식별 정보가 포함된 쿠키는 요청에 이용자의 권한이 부여돼야함을 의미한다.

CSRF

• CSRF(Cross Site Request Forgery) : 임의의 이용자의 권한으로 임의 주소에 HTTP 요청을 보낼 수 있는 취약점 => 즉, 이용자를 속여서, 의도치 않은 요청에 동의하게 하는 공격을 말한다.
• 공격자는 임의의 이용자의 권한으로 서비스 기능을 사용해 이득을 취할 수 있다.
• CSRF 공격에 성공하기 위해서는 공격자가 작성한 악성 스크립트를 이용자가 실행해야 한다. => 공격자가 이용자를 유도하는 것이 필요
• CSRF 공격 스크립트는 HTML 또는 Javascript를 통해 작성할 수 있다.
• XSS와 CSRF 비교

	XSS	CSRF
공통점	클라이언트를 대상으로 하는 공격으로 이용자가 악성 스크립트가 포함된 페이지에 접속하도록 유도하는 것이 필요
차이점	1.인증 정보인 세션 및 쿠키 탈취를 목적으로 하는 공격 2. 공격할 사이트의 오리진에서 스크립트를 실행시킴	1. 이용자가 임의 페이지에 HTTP 요청을 보내는 것을 목적으로 하는 공격이다. 2. 공격자는 악성 스크립트가 포함된 페이지에 접근한 이용자의 권한으로 웹 서비스의 임의 기능을 실행할 수 있다.