[웹해킹] CSRF(Cross-Site Request Forgery) #1 기초
·
[9기]SEGFAULT STUDY/Web Hacking
1. CSRF란?1.1 설명 실제 이용자가 요청하지 않은 조작된 동작을 서버에 요청하도록 유도하는 공격이다. 서버 측에서 사용자 요청에 대한 적절한 검증 절차가 없을 경우 발생하는 취약점으로, 이로 인해 서버는 정상적인 요청과 조작된 요청을 구분하지 못하게 된다. 공격당한 사용자의 권한이 그대로 사용되기 때문에, 이 사용자의 권한 수준에 따라 피해 범위가 달라질 수 있다. 1.2 발생 가능한 피해 공격 대상의 권한으로 게시글을 작성하거나 계정 정보를 변경할 수 있다. 특정한 경우 권한 상승 또한 가능하다. 권한을 도용하여 피싱 메일을 전송하거나 금융 거래 등의 행위를 진행할 수 있다.** 보고서 작성 시 그대로 복붙이 아니라 점검 대상에서 야기될 수 있는 피해를 고려해야 함. 2. 동작 원리 CSRF ..