콘텐츠
- 정의-CSRF (Cross-Site Request Forgery)는 무엇을 의미합니까?
- Microsoft Azure 및 Microsoft 클라우드 소개 | 이 가이드를 통해 클라우드 컴퓨팅에 관한 모든 내용과 클라우드에서 비즈니스를 마이그레이션하고 운영하는 데 Microsoft Azure가 어떻게 도움이되는지 알아 봅니다.
- Techopedia는 CSRF (Cross-Site Request Forgery)를 설명합니다.
정의-CSRF (Cross-Site Request Forgery)는 무엇을 의미합니까?
CSRF (Cross-Site Request Forgery)는 신뢰할 수있는 웹 사이트 사용자로부터 무단 명령을 실행하여 수행되는 웹 사이트 악용 유형입니다. CSRF는 웹 사이트에 대한 사용자의 신뢰를 악용하는 크로스 사이트 스크립팅과 달리 특정 사용자 브라우저에 대한 웹 사이트의 신뢰를 악용합니다.
이 용어는 세션 라이딩 또는 원 클릭 공격이라고도합니다.
Microsoft Azure 및 Microsoft 클라우드 소개 | 이 가이드를 통해 클라우드 컴퓨팅에 관한 모든 내용과 클라우드에서 비즈니스를 마이그레이션하고 운영하는 데 Microsoft Azure가 어떻게 도움이되는지 알아 봅니다.
Techopedia는 CSRF (Cross-Site Request Forgery)를 설명합니다.
CSRF는 일반적으로 익스플로잇 지점으로 브라우저 "GET"명령을 사용합니다. CSR 위조자는 "IMG"와 같은 HTML 태그를 사용하여 특정 웹 사이트에 명령을 삽입합니다. 그런 다음 해당 웹 사이트의 특정 사용자가 호스트 및 알 수없는 공범으로 사용됩니다. 합법적 인 사용자가 명령을 수행하기 때문에 웹 사이트가 공격을 받고 있다는 사실을 종종 알지 못합니다. 공격자는 자금을 다른 계좌로 이체하거나, 더 많은 자금을 인출하거나, PayPal 및 유사한 사이트의 경우 다른 계좌로 자금을 송금하라는 요청을 할 수 있습니다.
CSRF 공격은 성공하기 위해 여러 가지 일이 발생해야하기 때문에 실행하기가 어렵습니다.
- 공격자는 리퍼러 헤더를 검사하지 않는 웹 사이트 (일반적인) 또는 리퍼러 스푸핑을 허용하는 브라우저 또는 플러그인 버그가있는 사용자 / 피해자를 대상으로해야합니다.
- 공격자는 대상 웹 사이트에서 양식 제출 위치를 찾아야하며,이 주소는 희생자 주소 로그인 자격 증명 변경 또는 송금 등의 기능을 수행 할 수 있어야합니다.
- 공격자는 모든 양식 또는 URL 입력에 대한 올바른 값을 결정해야합니다. 공격자가 정확하게 추측 할 수없는 비밀 값이나 ID가 필요한 경우 공격이 실패합니다.
- 공격자는 대상이 사이트에 로그인되어있는 동안 사용자 / 피해자를 악성 코드가있는 웹 페이지로 유인해야합니다.
예를 들어, 개인 A가 대화방에서 은행 계좌를 탐색하고 있다고 가정하십시오. 대화방에는 개인 A도 bank.com에 로그인되어 있음을 알게 된 공격자 (Person B)가 있습니다. 인물 B는 인물 A에게 재미있는 이미지를위한 링크를 클릭하도록 유혹합니다. "IMG"태그에는 bank.com의 양식 입력에 대한 값이 포함되어 있으며, 이는 개인 A의 계정에서 개인 B의 계정으로 특정 금액을 효과적으로 이전합니다. 자금이 이체되기 전에 bank.com에 개인 A에 대한 2 차 인증이없는 경우 공격이 성공합니다.