Security Engineer · CSRF

브라우저 권한 남용과 CSRF 방어 흐름

피해자가 로그인한 상태에서 공격 페이지가 요청을 만들면 브라우저가 쿠키를 자동 전송한다. 서버는 요청 의도를 별도로 검증해야 한다.

01

세션 보유

피해자는 정상 사이트에 로그인되어 쿠키를 가진다.

02

공격 페이지 방문

공격자가 만든 폼, 이미지, 스크립트가 요청을 만든다.

03

쿠키 자동 전송

브라우저는 대상 도메인의 쿠키를 요청에 붙인다.

04

서버 검증

예측 불가능한 값과 출처 정보로 의도한 요청인지 확인한다.

CSRF Token 요청 의도 증명

공격 사이트가 알 수 없는 값을 상태 변경 요청에 포함한다.

SameSite 쿠키 전송 제한

교차 사이트 요청에서 쿠키 자동 첨부를 줄인다.

Origin 요청 출처 확인

민감 기능은 허용된 출처의 요청만 처리한다.

XSS와 차이

CSRF는 사용자의 권한을 빌려 요청을 보내는 문제다.

GET 금지

상태 변경은 GET으로 처리하지 않는다.

재인증

계좌 변경 같은 중요 기능은 추가 인증을 요구한다.