-
CSRF(Cross Site Request Forgery) : 사이트간 요청 위조
-> 피싱 활용해 링크를 누르게 함
-> 사용자 모르게 사이트의 어떤 기능 활용 (주로, 패스워드 변경)
-> 2008년 옥션 해킹 사건(1080만명 개인정보유출) 활용 공격 -
피싱 : 사회공학기법 중 하나로 이메일이나 게시판 등을 이용해서 마치 은행이나 대기업의 직원인 척 하면서 사람들을 낚는 공격 기법
-
CSRF 공격 순서 : 사용자 정상 접속 및 로그인 -> 2. 피싱(사용자가 로그인 되어있는 동안 해커가 이메일 발송하여 어떤 링크를 클릭하도록 유도) -> 3. 패스워드 변경 요청(링크를 클릭하면 클릭한 시점에 이미 로그인 되어있는 사이트의 패스워드를 해커가 지정한 패스워드로 변경하는 요청이 자동으로 전송) -> 4. 변경된 패스워드로 접속
- 사용자가 피싱을 당한 시점에 사이트에 로그인 되어 있어야 함
- 로그인 상태로 두고 새로운 탭 열고 이메일 클릭 -> 피싱
- 이메일, 게시판 등 링크 누르거나 모르는 사이트 방문 시 주의하는 습관
-
피싱만 잘하면 난이도 낮은 공격에 속함
-> 사용자가 피싱을 당하는 시점에 사이트에 로그인 되어 있어야 함
GPT 답변 : 인터넷 사용자가 웹 사이트를 방문할 때 그 사이트에서 인증된 사용자인 것 처럼 보이게 하여 사용자의 의도와는 무관하게 공격자가 원하는 악성 기능을 수행하도록 하는 보안 취약점
비슷한 어려움을 겪는 누군가에게 도움이 되길