CSRF(Cross-Site Request Forgery)

CSRF란 Cross-Site Request Forgery의 약자로, 인터넷 사용자가 자신의 의지와는 무관하게 공격자가 의도한 요청을 보내도록 유도하는 공격 기법입니다.

 

유명 경매 사이트인 옥션에서 발생한 개인정보 유출 사건에서 사용된 공격 방식 중 하나입니다.

 

사이트 간 스크립팅(XSS)을 이용한 공격이 사용자가 특정 웹사이트를 신용하는 점을 노린 것이라면, 사이트간 요청 위조(CSRF)는 특정 웹사이트가 사용자의 웹 브라우저를 신용하는 상태를 노린 것입니다. 일단 사용자가 웹사이트에 로그인한 상태에서 사이트간 요청 위조 공격 코드가 삽입된 페이지를 열면, 공격 대상이 되는 웹사이트는 위조된 공격 명령이 믿을 수 있는 사용자로부터 발송된 것으로 판단하게 되어 공격에 노출됩니다.

 

공격자는 사용자가 자주 사용하는 웹 사이트에 대해 쿠키나 인증 토큰 등을 탈취하여, 사용자의 인증 정보를 이용하여 공격합니다. 그리고 이를 이용하여 공격자가 만든 서버에 피해자가 모르게 악성 요청을 전송하도록 유도합니다.

이러한 공격은 공격자가 제작한 웹 페이지나 이메일 링크 등을 이용하여 실행될 수 있으며, 공격자는 이를 이용하여 사용자의 권한으로 다양한 악성 동작을 수행할 수 있습니다.

웹 개발자들은 CSRF 공격을 방지하기 위해 인증 토큰이나 CAPTCHA 등의 방어 기술을 적용해야 합니다. 또한, 사용자들은 자주 사용하는 웹 사이트에서는 보안 설정을 강화하고, 이상한 링크나 파일을 열지 않도록 주의해야 합니다.

CSRF 공격은 웹 보안에서 중요한 이슈 중 하나이며, 웹 개발자들은 보안 취약점에 대한 이해와 이를 방지하기 위한 적극적인 대응이 필요합니다.