티스토리 뷰
1. CSRF 개념
2. CSRF 공격 예시
3. CSRF 실습
1. CSRF 개념
2. CSRF 공격 예시
CSRF 공격은 권한을 갖고 있는 사용자로 하여금 해당 권한으로 공격자가 의도한 요청을 수행하도록 한다.
(1) 게시글을 작성할 때 요청하는 URL과 인자 값으로 공격 스크립트 구문을 작성
→ 해당 스크립트 구문을 실행시키는 사용자의 권한에 따라 피해자 의도와 관계없이 게시글이 작성되도록 하는 공격
(2) 결제가 이루어지는 페이지의 요청 값으로 공격 스크립트 구문을 작성
→ 해당 스크립트 구문을 실행시키는 사용자의 권한으로 과도한 결제가 이루어지도록 하는 공격
(3) 회원가입 전송 시 요청 값으로 공격 스크립트 구문을 작성
→ 해당 스크립트에 노출되는 사용자가 자신도 모르게 회원가입이 되도록 하는 공격
(4) 댓글을 작성하는 요청 값으로 공격 스크립트 구문을 작성
→ 해당 스크립트에 노출되는 회원의 권한으로 자신의 의도와는 상관없이 댓글이 남겨지게 되는 공격
3. CSRF 실습
3.1. 상품을 자동으로 장바구니에 담기게 하기
(1) http://XXX.XXX.XXX.XXX/demoshop/shopping_cart/cart_set.asp
(2) ea=7469&g_code=20081031141418&top=1
<iframe src= 'http://XXX.XXX.XXX.XXX/demoshop/shopping_cart/cart_set.asp?ea=7469&g_code=20081031141418&top
'>
3.2. 악성 스크립트 클릭 시 악성 서버 유도를 통한 악성코드 감염
'정보보호' 카테고리의 다른 글
| 파일 다운로드 취약점 (0) | 2021.09.07 |
|---|---|
| 파일 업로드 취약점 (0) | 2021.09.07 |
| Cross-Site Scripting (XSS) (0) | 2021.09.02 |
| SQL injection (SQLi) - 2 (0) | 2021.09.01 |
| SQL injection (SQLi) - 1 (0) | 2021.08.31 |
- Total
- Today
- Yesterday
- Screen 객체
- Browser Object Model
- 컴파일
- keyword
- short
- 변수
- 리액트 #React #props #state #javascript
- window 객체
- gcc
- History 객체
- bom
- int
- 자료형
- location 객체
- stdio.h
- long
- 키워드
- Document Object Model
- Navigator 객체
- DOM
- c언어
- Char
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | |||||
| 3 | 4 | 5 | 6 | 7 | 8 | 9 |
| 10 | 11 | 12 | 13 | 14 | 15 | 16 |
| 17 | 18 | 19 | 20 | 21 | 22 | 23 |
| 24 | 25 | 26 | 27 | 28 | 29 | 30 |