2 - 1 - 1. ClientSide: CSRF ( Cross Request Forgery )
# ๊ต์ฐจ ์ฌ์ดํธ ์์ฒญ ์์กฐ ( = ClientSide: CSRF ( Cross Request Forgery ) )
: ์ด์ฉ์๋ก ํ์ฌ๊ธ ๋ณธ์ธ์ ์์ง์ ๋ฌด๊ดํ๊ฒ ๊ณต๊ฒฉ์๊ฐ ์๋ํ ํน์ ํ์๋ฅผ ํน์ ์น์ฌ์ดํธ์ ์์ฒญํ๊ฒ ํ๋ ๊ณต๊ฒฉ
ex ) CSRF ์ทจ์ฝ์ ์ด ์กด์ฌํ๋ ์ฝ๋์ ์ฝ๋ ๊ด๋ จ ๊ธฐ๋ฅ ์ค์ต
1. ์๋ ์ก๊ธ ์์ฒญ ์ฝ๋์ ์ก๊ธ ์งํ ์ฝ๋ ๋ถ์
+ ์ก๊ธ ๊ณผ์ ์์ ๊ณ์ข์ password, OTP ์ฌ์ฉ X --> ์ด์ฉ์๊ฐ ์ถ๊ฐ์ ์ธ ์ธ์ฆ ์ ๋ณด ์์ด๋ ํด๋น ๊ธฐ๋ฅ ์ด์ฉ ๊ฐ๋ฅ
2. HTML ํ๊ทธ๋ฅผ ์ด์ฉํ์ฌ ๊ณ์ข ์๊ณ ๋ฅผ 1,000,000์ ์ด์์ผ๋ก ์ค์ ํด๋ณด๊ธฐ
- XSS์ CSRF
๊ณตํต์ |
1. ํด๋ผ์ด์ธํธ๋ฅผ ๋์์ผ๋ก ํ ๊ณต๊ฒฉ 2. ์ด์ฉ์๊ฐ ํน์ ํ๋(์ ์ฑ ์คํฌ๋ฆฝํธ๊ฐ ์๋ ํ์ด์ง์ ์ ์ ๋ฑ)์ ํ๋๋ก ์ ๋ |
์ฐจ์ด์ | |
XSS | CSRF |
์ธ์ ๋ฐ ์ฟ ํค ํ์ทจ๋ฅผ ๋ชฉ์ ์ผ๋ก ํจ | ํน์ ํ์ด์ง์ HTTP ์์ฒญ์ ์ ์กํ๋ ๊ฒ์ ๋ชฉ์ ์ผ๋ก ํจ |
'โ๏ธ Web Hacking > Dreamhack' ์นดํ ๊ณ ๋ฆฌ์ ๋ค๋ฅธ ๊ธ
[Dreamhack] CSRF-2 ๋๋ฆผํต ์๊ฒ์ ๋ฌธ์ ํ์ด (0) | 2022.09.23 |
---|---|
[Dreamhack] CSRF-1 ๋๋ฆผํต ์๊ฒ์ ๋ฌธ์ ํ์ด (0) | 2022.09.22 |
[Dreamhack] XSS-2 ๋๋ฆผํต ์๊ฒ์ ๋ฌธ์ ํ์ด (0) | 2022.09.21 |
[Dreamhack] XSS-1 ๋๋ฆผํต ์๊ฒ์ ๋ฌธ์ ํ์ด (0) | 2022.09.21 |
[Dreamhack] ClientSide : Cross Site Scripting (XSS) + Stored XSS + Reflected XSS (0) | 2022.09.21 |