사이트 간 요청 위조

위키백과, 우리 모두의 백과사전.
이동: 둘러보기, 검색

사이트 간 요청 위조(또는 크로스 사이트 요청 위조, 영어: Cross-site request forgery, CSRF, XSRF)는 웹사이트 취약점 공격의 하나로, 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정, 삭제, 등록 등)를 특정 웹사이트에 요청하게 하는 공격을 말한다.

유명 경매 사이트인 옥션에서 발생한 개인정보 유출 사건에서 사용된 공격 방식 중 하나다.

사이트 간 스크립팅(XSS)을 이용한 공격이 사용자가 특정 웹사이트를 신용하는 점을 노린 것이라면, 사이트간 요청 위조는 특정 웹사이트가 사용자의 웹 브라우저를 신용하는 상태를 노린 것이다. 즉, 일단 사용자가 웹사이트에 로그인한 상태에서 사이트간 요청 위조 공격 코드가 삽입된 페이지를 열면 이후에는 사용자의 행동과 관계 없이 사용자의 웹 브라우저와 공격 대상 웹사이트 간의 상호작용이 이루어진다. (공격자의 의도에 따라 제 3의 웹사이트가 추가될 수도 있다.)


공격 과정[편집]

  1. 이용자는 웹사이트에 로그인하여 정상적인 쿠키를 발급받는다
  2. 공격자는 다음과 같은 링크를 이메일이나 게시판을 통해 이용자에게 전달한다.
    http://www.geocities.com/attacker
  3. 공격용 HTML 페이지는 다음과 같은 이미지태그를 가진다.
    <img src= "https://travel.service.com/travel_update?.src=Korea&.dst=Hell">
    해당 링크는 클릭시 정상적인 경우 출발지와 도착지를 등록하기위한 링크이다. 위의 경우 도착지를 변조하였다.
  4. 이용자는 아무런 생각없이 공격용 URL을 클릭하여 해당페이지로 이동한다.
  5. 이용자의 승인이나 인지 없이 출발지와 도착지가 등록이 된다. 웹 브라우저가 공격용 페이지를 보여주는 과정에서 이미지를 받으려고 시도하게 되며, 이런 과정에서 이용자의 정상적인 쿠키가 정상적인 페이지로 요청시 원래의 서비스 페이지에 전달된다. 해당 서비스 페이지는 등록 과정에 대해 단순히 쿠키를 통한 본인확인 밖에 하지 않으므로 공격자가 정상적인 이용자의 수정이 가능하게 된다.

바깥 고리[편집]