Cross Site Request Forgery (CSRF)

이미지를 불러오는 img 태그, 웹 페이지에 입력된 양식을 전송하는 form 태그를 사용

태그를 이용해 HTTP 요청을 보내면 HTTP 헤더인 Cookie에 이용자의 인증 정보가 포함됨

 

<img src='http://' width=0px height=0px>

// 이미지 크기를 줄일 수 있는 옵션 제공

 

window.open('http://');

// 새 창 띄우기

location.href = 'http://';
location.replace('http://');

// 현재 창 주소 옮기기

 

XSS와 CSRF는 스크립트를 웹 페이지에 작성해 공격한다는 점에서 매우 유사

- 공통점

모두 클라이언트 대상 공격, 이용자가 악성 스크립트가 포함된 페이지에 접속하도록 유도함
- 차이점
XSS: 인증 정보인 세션 및 쿠키 탈취가 목적

공격할 사이트의 오리진에서 스크립트를 실행
CSRF: 이용자가 임의 페이지에 HTTP 요청을 보내는 것을 목적

악성 스크립트가 포함된 페이지에 접근한 이용자의 권한으로 웹 서비스의 임의 기능을 실행

 

* Cross Site Request Forgery (CSRF): 사이트 간 요청 위조

이용자가 자신의 의지와는 무관하게 공격자가 의도한 행위를 특정 웹사이트에 요청하게 만드는 공격

 

 

<출처>

- https://dreamhack.io/