Web Background - CSRF

• CSRF

CSRF(Cross Site Request Forgery)는 교차 사이트 요청 위조로 임의 이용자의 권한으로 임의 주소에 HTTP 요청을 보낼 수 있는 취약점을 의미함

공격자는 임의 이용자의 권한으로 서비스 기능을 사용해 이득을 취할 수 있게 됨

 

Ex) 이용자의 계정으로 임의 금액을 송금해 금전적인 이득을 취하거나 비밀번호를 변경해 계쩡을 탈취하고, 관리자 계정을 공격해 공지사항 작성 등으로 혼란을 야기할 수 있음

 

CSRF 공격에 성공하기 위해서는 공격자가 작성한 악성 스크립트(HTTP 요청 보내느 코드)를 이용자가 실행해야 함

메일을 보내거나 게시판에 글을 작성해 이용자가 이를 조회하도록 유도하는 방법으로 이를 활용함

 

- 이미지를 불러오는 <img> 태그 or 웹 페이지에 입력된 양식을 전송하는 <form> 태그를 사용하는 방법도 있음

 

• XSS와 CSRF

- 공통점

두 개의 취약점은 모두 클라이언트를 대상으로 하는 공격이며, 이용자가 악성 스크립트가 포함된 페이지에 접속하도록 유도해야 함

 

- 차이점

두 개의 취약점은 공격에 있어 서로 다른 목적을 가짐

XSS는 인증 정보인 세션 및 쿠키 탈취를 목적으로 하는 공격이며, 공격할 사이트의 오리진에서 스크립트를 실행함

CSRF는 이용자가 임의 페이지에 HTTP 요청을 보내는 것을 목적으로 하는 공격으로 공격자는 악성 스크립트가 포함된 페이지에 접근한 이용자의 권한으로 웹 서비스의 임의 기능을 실행할 수 있음

 

Ref) https://dreamhack.io/ (dreamhack - Web Hacking)