- 특정 웹사이트에 대해서 사용자가 인지하지 못한 상황에서 사용자의 의도와는 무관하게 공격자가 의도한 행위를 요청하게 하는 공격
- 공격자는 사용자가 인증한 세션이 특정 동작을 수행하여도 계속 유지되어 정상적인 요청과 비정상적인 요청을 구분하지 못하는 점을 악용하여 피해가 발생한다.
- GET방식으로 전달된다면 공격자가 이를 쉽게 알아내어 원하는 요청을 보냄으로써 위험한 작업을 요청할 수 있게 된다.
- 입력화면 폼 작성 시 GET방식 보다는 POST방식을 사용하고 입력화면 폼과 해당 입력을 처리하는 프로그램 사이에 토큰을 사용하여, 공격자의 직접적인 URL 사용이 동작하지 않도록 처리한다.
- GET방식은 단순히 FORM데이터를 URL 뒤에 덧붙여서 전송하기 때문에 GET방식의 FORM을 사용하면 전달 값이 노출되므로 CSRF(Cross-Site Request Forgery)공격에 쉽게 노출될 수 있다.
반응형
'Web Security > SecureCoding' 카테고리의 다른 글
| 절대 디렉터리 경로 조작 (0) | 2022.11.16 |
|---|---|
| 상대 디렉터리 경로 조작 (0) | 2022.11.16 |
| 신뢰 되지 않는 URL 주소로 자동 접속 연결 (0) | 2022.11.15 |
| 위험한 형식 파일 업로드 (0) | 2022.11.15 |
| 크로스 사이트 스크립트 (0) | 2022.11.11 |
댓글