반응형 csrf1 XSS와 CSRF의 차이 및 예시 CSRFCross-Site Request Forgery - "크로스사이트 요청 변조"라고 번역한다. XSRF라고 적기도 한다. - 공격 대상은 서버이다. - 위조된 서버 요청을 보내 권한이 없는 동작을 한다. - 예시 : 흔히 하는 파라미터 조작이 CSRF의 대표적인 예라고 할 수 있다. 관리자 권한으로 할 수 있는 일은 &is_admin=1 과 같은 GET 파라미터를 추가하여 동작 시키는 것이다. 다른 회원의 정보 수정, 비밀글 보기 등등 파라미터로 받아서 검증하면 안되는 일들이 파라미터로 처리될 때 공격에 취약하다. POST라고 안전한건 아니다. 권한을 검증 해야 할 경우엔 세션을 이용해야 한다. XSSCross-Site Scripting- 공격 대상이 홈페이지 이용자이다. 서버에는 영향을 주지 않지.. 2018. 3. 25. 이전 1 다음 반응형