본문 바로가기

사전 › Security

Security#Security#Web

CSRF란? — Cross-Site Request Forgery

로그인된 사용자의 권한을 악용해 의도치 않은 요청을 보내게 하는 공격.

CSRF란?

사용자가 로그인된 상태에서 다른 악성 사이트가 대신 요청을 보내도록 속이는 공격이다. 게시글 작성·비밀번호 변경 등이 일어날 수 있다.

방어

CSRF 토큰 — 폼마다 랜덤 토큰을 숨겨 넣고 서버 검증
SameSite 쿠키 (Strict/Lax) — 외부 사이트에서 쿠키 전송 차단
중요한 작업은 재인증(비밀번호 재입력)
HTTP 메서드 규약 준수 (GET은 데이터 변경 금지)

함께 보면 좋은 용어

CVE공개된 보안 취약점에 부여되는 고유 식별자. CVE-연도-번호 형식.OAuth사용자의 비밀번호를 공유하지 않고 제3자에게 제한된 권한을 위임하는 표준 프로토콜.SQL Injection사용자 입력을 조작해 의도하지 않은 SQL을 실행시키는 공격. Prepared Statement로 방어.XSS악성 스크립트를 웹 페이지에 주입해 다른 사용자 브라우저에서 실행시키는 공격.

← 전체 사전으로