CSRF(Cross Site Request Forgery) ์ทจ์•ฝ์ 

๊ฐœ์š” "Cross Site Request Forgery" ์˜ ์•ฝ์ž๋กœ XSS์˜ ์ทจ์•ฝ์ ๊ณผ ์œ ์‚ฌํ•˜๊ฒŒ ์‚ฌ์šฉ์ž์˜ ์ž…๋ ฅ๊ฐ’ ๊ฒ€์ฆ ๋ฐ ์‚ฌ์šฉ์ž์˜ ์š”์ฒญ ์‹œ ์„ธ์…˜ ์ฟ ํ‚ค, ์ถœ๋ฐœ์ง€ ์ฃผ์†Œ ๋“ฑ ์˜ฌ๋ฐ”๋ฅด๊ฒŒ ์š”์ฒญ๋œ ๊ฒƒ์ธ์ง€ ๊ฒ€์ฆ์„ ํ•˜์ง€ ์•Š์•„ ๋ฐœ์ƒํ•ฉ๋‹ˆ๋‹ค. ๊ณต๊ฒฉ ๋ฐฉ์‹์€ XSS์™€ ์œ ์‚ฌํ•˜๊ฒŒ Reflect ๋ฐฉ์‹๊ณผ Stored ๋ชจ๋‘ ์‚ฌ์šฉ ๊ฐ€๋Šฅํ•ฉ๋‹ˆ๋‹ค. Reflect ๊ธฐ๋ฐ˜์ด๋ผ๋ฉด ๋ณดํ†ต ์ด๋ฏธ์ง€ ํƒœ๊ทธ(img, iframe, embed src)์™€ ๋งํฌ ํƒœ๊ทธ(a href)๋ฅผ ์‚ฌ์šฉํ•ด ์ด๋ฏธ์ง€์— ๋งํฌ๋ฅผ ์‚ฝ์ž…ํ•˜๋Š” ๋“ฑ GET ๋ฐฉ์‹์˜ ์•…์„ฑ๋ฉ”์ผ ํ˜•ํƒœ๋กœ ์ „์†กํ•˜๊ฒŒ ๋  ๊ฒƒ์ด๋ฉฐ, Store ๋ฐฉ์‹๋„ iframe์ด๋‚˜ script ํƒœ๊ทธ๋ฅผ ์ด์šฉํ•ด ์ฝ”๋“œ๋ฅผ ์‚ฝ์ž…ํ•ด๋‘˜ ์ˆ˜ ์žˆ์Šต๋‹ˆ๋‹ค. *Post ๋ฐฉ์‹์ผ ๊ฒฝ์šฐ "Form"์„ ์ด์šฉํ•˜์—ฌ ์‚ฌ์ดํŠธ๋ฅผ ์ด์šฉํ•˜๋Š” ๋ถˆํŠน์ • ๋‹ค์ˆ˜๋ฅผ ๋Œ€์ƒ์œผ๋กœ ์ง„ํ–‰ํ•  ์ˆ˜ ์žˆ์Šต๋‹ˆ๋‹ค. ๊ณต..

WEB