본문 바로가기
해킹/웹해킹

CSRF 공격대응

by 맑은청이 2020. 5. 3.
728x90
반응형

만약 CSRF 를 모르신다면 https://com24everyday.tistory.com/34

 

CSRF공격

오늘은 CSRF 공격에 대해 배워보겠습니다. CSRF는 Cross Site Request Forgery 의 약자로 사이트 간 요청 위조로 해커들이 피싱을 활용하여 사용자 모르게 패스워드를 변경하거나 하는 공격기법입니다. 피

com24everyday.tistory.com

포스팅을 보고 와주세요!

 

 

보안 단계를 impossible 로 바꿔 주세요.

보면 현재 패스워드를 추가입력해야합니다. 이러면 해커가 기본의 패스워드를 알고 있지 않은 한 공격을 할 수 없습니다. CSRF에 가장 좋은 대응 책은 이와 같이 주요한 기능에는 현재 패스워드 추가 입력을 한다거나 CAPTCHA 같은 것을 이용해서 사용자가 직접 요청을 하는 지 확인하는 겁니다. 또한 관리자 기능 같은 해커에게 악용될 수 있는 경우 CSRF 공격에 대응책이 마련되어 있어야 합니다. 하지만 권리자가 일일히 패스워드를 치는 건 너무 귀찮기 때문에 referer 헤더나 CSRF 토큰을 이용하여 대비하면 좋습니다. 또 XSS 공격에 취약하면 이러한 대응법들이 무용지물이 되기 때문에 철저하게 대비가 되어 있어야 합니다. CSRF 토큰 구현은 개발언어나 프레임워크에 따라서 기본 라이브러리나 설정으로 할 수 있습니다. 

 

 

728x90
반응형

'해킹 > 웹해킹' 카테고리의 다른 글

파일 인클루젼 공격대응  (0) 2020.05.04
파일 인클루젼 공격  (0) 2020.05.04
CSRF공격  (0) 2020.05.03
커맨드 인젝션 공격 대응  (0) 2020.05.02
커맨드인젝션 공격  (0) 2020.05.02