CSRF

Web application security

: 개발자들이 웹사이트, 모바일 어플, 웹API 등을 만들 때에 해커들의 공격을 막기 위해서 보안은 필수 사항

여러가지 공격들

• SQL injection
• XSS
• CSRF

CSRF ( Cross Site Request Forgery) 란??

• 다른 사이트에서 유저가 보내는 요청(request)을 조작(forgery)하는 것
  ex) 이메일에 첨부된 링크를 누르면 내 은행계좌의 돈이 빠져나감.

• 해커가 직접 데이터를 접근할 수 없다.
  ex) 다른 오리진이기 때문에 response에 직접 접근할수 없음.

CSRF 공격을 하기 위한 조건

• 쿠키를 사용한 로그인 ( 유저가 로그인 했을때, 쿠키로 어떤 유저인지 알수 있어야함)
• 예측할수 있는 요청/Parameter를 가지고 있어야함 (reqeust에 해커가 모를수 있는 정보가 담겨있으면 안됨)

GET 요청 POST 요청(body에 내용을 담음) 으로 공격을 할수 있다.

CSRF는 그럼 어떻게 막을까요 ?

• CSRF 토큰 사용하기
  서버측에서 CSRF공격에 보호하기 위한 문자열을 유저의 브라우저와 웹엡에만 제공

• Same-site cookie 사용하기
  같은 도메인에서만 세션/쿠키를 사용할 수있다.