[Dreamhack] ClientSide: CSRF ( Cross Request Forgery )

2 - 1 - 1. ClientSide: CSRF ( Cross Request Forgery )

 

 

 

# 교차 사이트 요청 위조 ( = ClientSide: CSRF ( Cross Request Forgery ) )

: 이용자로 하여금 본인의 의지와 무관하게 공격자가 의도한 특정 행위를 특정 웹사이트에 요청하게 하는 공격

 

ex ) CSRF 취약점이 존재하는 코드와 코드 관련 기능 실습

1. 아래 송금 요청 코드와 송금 진행 코드 분석

이용자가 송금을 요청하는 코드

 

송금 기능과 관련된 코드

+ 송금 과정에서 계좌의 password, OTP 사용 X  -->  이용자가 추가적인 인증 정보 없이도 해당 기능 이용 가능

 

 

2. HTML 태그를 이용하여 계좌 잔고를 1,000,000원 이상으로 설정해보기

 

 

 

 

- XSS와 CSRF

공통점

1. 클라이언트를 대상으로 한 공격 2. 이용자가 특정 행동(악성 스크립트가 있는 페이지에 접속 등)을 하도록 유도

 

차이점
XSS	CSRF
세션 및 쿠키 탈취를 목적으로 함	특정 페이지에 HTTP 요청을 전송하는 것을 목적으로 함