Loading AI tools
웹사이트 취약점 공격의 하나 위키백과, 무료 백과사전
사이트 간 요청 위조(또는 크로스 사이트 요청 위조, 영어: Cross-site request forgery, CSRF, XSRF)는 웹사이트 취약점 공격의 하나로, 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정, 삭제, 등록 등)를 특정 웹사이트에 요청하게 하는 공격을 말한다. 유명 경매 사이트인 옥션에서 발생한 개인정보 유출 사건에서 사용된 공격 방식 중 하나다.
사이트 간 스크립팅(XSS)을 이용한 공격이 사용자가 특정 웹사이트를 신용하는 점을 노린 것이라면, 사이트간 요청 위조는 특정 웹사이트가 사용자의 웹 브라우저를 신용하는 상태를 노린 것이다. 일단 사용자가 웹사이트에 로그인한 상태에서 사이트간 요청 위조 공격 코드가 삽입된 페이지를 열면, 공격 대상이 되는 웹사이트는 위조된 공격 명령이 믿을 수 있는 사용자로부터 발송된 것으로 판단하게 되어 공격에 노출된다.
CSRF는 웹 애플리케이션이 신뢰하는 사용자로부터 승인되지 않은 명령이 제출되는 웹 사이트 또는 웹 애플리케이션에 대한 일종의 악의적인 공격이다.[1] 악의적인 웹사이트가 그러한 명령을 전송할 수 있는 방법은 여러 가지가 있다. 예를 들어 특별히 제작된 이미지 태그, 숨겨진 양식, 자바스크립트 페치(fetch) 또는 XMLHttpRequests는 모두 사용자의 상호 작용이나 지식 없이도 작동할 수 있다. 특정 사이트에 대해 사용자가 갖고 있는 신뢰를 활용하는 사이트 간 스크립팅(XSS)와 달리 CSRF는 사이트가 사용자 브라우저에 갖고 있는 신뢰를 활용한다.[2] CSRF 공격에서는 공격자가 무고한 최종 사용자를 속여 의도하지 않은 웹 요청을 제출하도록 한다. 이로 인해 의도하지 않은 클라이언트 또는 서버 데이터 유출, 세션 상태 변경 또는 최종 사용자 계정 조작을 포함할 수 있는 작업이 웹 사이트에서 수행될 수 있다.
"CSRF"라는 용어는 헤더 데이터, 양식 데이터 또는 쿠키를 사용하여 이러한 공격을 테스트하고 방지하는 기술과 같은 CSRF 공격에 대한 방어의 약어로도 사용된다.
<img src= "https://travel.service.com/travel_update?.src=Korea&.dst=Hell">
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.