https://dreamhack.io/lecture/roadmaps/1
[ Web : stage 5 _ Cross-Site-Scripting(CSRF) ]
[CSRF]
- 임의 이용자의 권한으로 임의 주소에 HTTP 요청을 보낼 수 있는 취약점
- 공격자는 임의 이용자의 권한으로 서비스 기능을 사용해 이득을 취할 수 있음
[Cross Site Request Forgery 동작]
- 공격에 성공하기 위해서는 공격자가 작성한 악성 스크립트를 이용자가 실행해야 함
-> 공격자가 이용자에게 메일을 보내거나 게시판에 글을 작성해 이용자가 이를 조회하도록 유도
( 악성 스크립트 : http 요청을 보내는 코드)
- CSRF 공격 스크립트는 HTML 또는 Javascript를 통해 작성할 수 있음
HTML으로 작성된 스크립트
=> IMG 태그 OR form 태그 사용
: 이미지의 크기를 줄일 수 있는 옵션을 주어, 이용자에게 들키지 않고 임의 페이지에 요청 전송 가능
=> JAVA 공격 코드 예시
: 새로운 창을 띄우고, 현재 창의 주소를 옮기는 등의 행위 가능
[XSS와 CSRF의 차이]
1. 공통점
: 두 취약점 모두 클라이언트를 대상으로 하는 공격
: 이용자가 악성 스크립트가 포함된 페이지에 접속하도록 유도해야 함
2. 차이점
- XSS: 인증 정보인 세션 및 쿠키 탈취를 목적으로 함
: 공격할 사이트의 오리진에서 스크립트 실행
- CSRF: 이용자가 임의 페이지에 HTTP 요청을 보내는 것을 목적으로 함
: 공격자는 악성 스크립트가 포함된 페이지에 접근한 이용자의 권한으로 웹 서비스의 임의 기능을 실행
'Webhacking > 개념' 카테고리의 다른 글
[Web] Dreamhack STAGE 8 (0) | 2022.08.27 |
---|---|
[Web] Dreamhack STAGE 7 (0) | 2022.08.27 |
[Web] Dreamhack STAGE 6 (0) | 2022.08.27 |
[Web] Dreamhack STAGE 4 (0) | 2022.08.25 |
[Web] Dreamhack STAGE 1 ~ 3 (0) | 2022.08.15 |