혼코딩

CSRF(사이트 간 요청 위조)란?

• 웹사이트 취약점 공격의 하나로, 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위(CRUD)를 특정 웹사이트에 요청하게 하는 공격
• 공격자가 사용자가 의도하지 않은 작업을 수행하도록 유도할 수 있는 웹 보안 취약점이다.
  → 이를 통해서 공격자는 서로 다른 웹 사이트가 서로 간섭하지 못하도록 설계된 SOP을 부분적으로 우회할 수 있다.

💡 사용자의 웹 브라우저를 신용하는 상태를 노린 것이다. 일단 사용자가 웹사이트에 로그인한 상태에서 공격 코드가 삽입된 페이지를 열면, 공격 대상이 되는 웹사이트는 위조된 공격 명령이 믿을 수 있는 사용자로부터 발송된 것으로 판단하게 되어 공격에 노출된다.

공격 과정

1. 이용자가 웹사이트에 로그인하여 정상적인 쿠키를 발급받는다.
2. 공격자는 링크를 이메일이나 게시판 등의 경로를 통해 이용자에게 전달한다.
3. 공격용 HTML 페이지는 다음과 같은 이미지 태그를 가진다.
   

   <img src= "https://travel.service.com/travel_update?.src=Korea&.dst=Hell">
   // 이 링크는 클릭시 정상적인 경우 출발지와 도착지를 등록하기위한 링크이다. 위의 경우 도착지를 변조하였다.​

4. 이용자가 공격용 페이지를 열면, 브라우저는 이미지 파일을 받아오기 위해 공격용 URL을 연다.
5. 이용자의 승인이나 인지 없이 출발지, 도착지가 등록됨으로써 공격이 완료됨.