Cross Site Request Forgery

한국말로 번역하면, 사이트간의 요청 조작.

• 사용자가 자신의 의지와 무관하게 attacker의 의도를 따라 행동하게하여 문제를 일으킴.

• 이메일 첨부 링크 클릭시 내 계좌의 돈이 빠져나감 .

• 다른 오리진이라 해커가 직접 데이터에는 접근할 수 없다는 특징을 가진다.

csrf 공격 조건

• 쿠키를 사용한 로그인
• 예측할 수 있는 요청/ 파라미터를 가지고 있어야 함.

get

• 파라미터로 정보를 요청

post

• 파라미터에 담지않고, 바디부분에 정보를 담아서 요청한다. (공격이 어려움)

csrf를 막는방법

• csrf토큰 사용하기
  서버가 토큰문자열을 유저(브라우저, 웹앱)에게만 전달을 한다.
  따라서 그 조합에만 응답.

• same-site 쿠키 사용하기
  같은 도메인에서만 세션 및 쿠키를 사용할 수 있다.
  (해커의 링크를 클릭해도 도메인이 다르기 때문에 공격불가)