728x90
반응형
CSRF
크로스 사이트 리퀘스트 포저리
(교차 사이트 요청 위조)
사이트에 로그인된 유저를 대상으로
그 사이트에서 API 호출을 몰래 요청하게 만든다.
결제 사이트의 결제 요청 API를 분석해본 다음
이미지를 포함한 그럴듯한 메일을 보낸다.
이미지 주소를 "그 결제 사이트의 결제 요청 API를 호출주소"로 하면
유저가 로그인 되어있었다면 모르게 호출이 되고
돈이 빠져나가는 상황이 발생함.
POST 방식이라고 해도
메일에 그럴듯한 Form을 구성하고
버튼을 누르게 만들면 같은 원리로 빠진다.
쿠키 SameSite=Strict로 해두면 같은 도메인의 웹사이트에서만 API가 호출된다.
만약 SameSite=Strict가 제한된다면 CSRF 전용 토큰을 활용한다는 등 해야한다
반응형
