보안을 그리다, 훈이

앞서 포스팅한 [Web Hacking] CSRF(Cross-Site Request Forgery) 취약점을 토대로 실습을 진행해보았다. CSRF(Cross-Site Request Forgery) 실습 미리 구현한 게시판 환경에서 실습해보도록 하겠다. 본 웹페이지를 한사랑산악회 게시판이라고 가정, 운영진이 [한사랑산악회] 회비 납부 관련의 건.을 제목으로 한 게시글을 업로드하였다. 산악회 회원이라면 당연히 위 게시글을 읽어야만 할 것이고, 이후 명시된 바와 같이 기한 내에 30만원을 산악회 계좌번호로 납부할 것이다. 여기서 본 산악회 게시판이 CSRF 기법에 대한 방어가 제대로 갖춰져 있지 않다면 요청을 위조(Request Forgery)하여 해당 게시글을 수정하거나 삭제하는 등 공격자가 행하고자 하는 각..

CSRF(Cross-Site Request Forgery) 개념 CSRF(Cross-Site Request Forgery)는 XSRF 또는 사이트 간 요청 위조로 불린다. 이는 웹사이트 취약점 공격 기법이며, 사용자가 자신의 의지와는 무관하게 수정, 삭제, 등록 등 공격자가 의도한 행위를 특정 웹사이트에 요청하게 하는 공격이다. CSRF와 XSS(Cross-Site Scripting)의 개념이 상당부분 비슷해 보이지만 각각 공격이 실행되는 위치에 차이를 두고 있다. 일반적으로 XSS는 클라이언트(PC)에서, CSRF는 서버 단에서 공격이 발생한다. 즉, XSS는 사용자의 정보를 탈취하는 것, CSRF는 위조한 요청을 서버에 보내 공격하는 것이 목적이다. 대표적으로 2008년에 유명 경매 사이트인 옥션에서..