CSRF 공격대응

만약 CSRF 를 모르신다면 https://com24everyday.tistory.com/34

CSRF공격

포스팅을 보고 와주세요!

 

 

보안 단계를 impossible 로 바꿔 주세요.

보면 현재 패스워드를 추가입력해야합니다. 이러면 해커가 기본의 패스워드를 알고 있지 않은 한 공격을 할 수 없습니다. CSRF에 가장 좋은 대응 책은 이와 같이 주요한 기능에는 현재 패스워드 추가 입력을 한다거나 CAPTCHA 같은 것을 이용해서 사용자가 직접 요청을 하는 지 확인하는 겁니다. 또한 관리자 기능 같은 해커에게 악용될 수 있는 경우 CSRF 공격에 대응책이 마련되어 있어야 합니다. 하지만 권리자가 일일히 패스워드를 치는 건 너무 귀찮기 때문에 referer 헤더나 CSRF 토큰을 이용하여 대비하면 좋습니다. 또 XSS 공격에 취약하면 이러한 대응법들이 무용지물이 되기 때문에 철저하게 대비가 되어 있어야 합니다. CSRF 토큰 구현은 개발언어나 프레임워크에 따라서 기본 라이브러리나 설정으로 할 수 있습니다.