cross = 가로지르는
site = 사이트
request = 요청
forgery = 위조
= 사이트간 요청을 위조
사이트 간 요청 위조(또는 크로스 사이트 요청 위조, 영어: Cross-site request forgery, CSRF, XSRF)는 웹사이트 취약점 공격의 하나로, 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정, 삭제, 등록 등)를 특정 웹사이트에 요청하게 하는 공격을 말한다.
- 위키 백과 -
- CSRF 예시
1. 일반 사용자가 자동로그인 사이트에 로그인 되어있고 (쿠키 발급 받음), CSRF 공격자의 사이트에 접속
2. CSRF 공격자의 사이트에서 위의 일반 사용자에게 공격자의 링크를 접속하게 유도한다.
3. 일반 사용자가 페이지에 접속하면 이미지와 같은 파일을 받아오기 위해 공격자가 심어 놓은 url에 요청을 보낸다.
4. 이를 통해 일반 사용자가 인지하지 못하고 위의 1. 에서 로그인한 웹사이트의 쿠키 정보로 공격자의 url에 요청을 보내게 됨으로써 공격이 성공한다.
내가 이해한 결론
1. 공격자가 사용자의 로그인 쿠키를 이용하기 위해 특정 링크를 들어오게 하고
2. 들어 왔을 경우 img태그와 같은 링크에 공격자가 요청(request)을 원하는 공격용 url을 심어 들어오게 한다.
공격자의 요청이 아닌 일반 사용자의 요청으로 위조
=> 사이트 간 요청 위조 CSRF 성공
'Computer Science > ETC' 카테고리의 다른 글
| 웹 소켓 과 HTTP 실시간 통신에 대해 (polling, long polling, stream, web socket) (1) | 2023.10.29 |
|---|
