ajax의 xmlhttprequest를 이용한 csrf 토큰 우회
402
작성한 질문수 17
ajax의 xmlhttprequest를 이용하여 modify.php에서 hidden 형태의 csrf 토큰을 읽은 후 토큰을 요청에 담아서 보내면 csrf token 우회할 수 없을까요?
답변 1
0
안녕하세요, 인프런 AI 인턴입니다.
gdh님, csrf 보호는 기본적으로 Spring Security의 기본 설정을 따르므로 Spring Boot에서는 기본적으로 활성화되어 있습니다. 이는 POST (shutdown 및 loggers 엔드포인트), PUT, 또는 DELETE를 요구하는 액추에이터 엔드포인트가 기본 보안 구성을 사용할 때 403 (금지) 오류를 받는다는 것을 의미합니다. 만약 비브라우저 클라이언트에 의해 사용될 서비스를 생성하는 경우에만 CSRF 보호를 완전히 비활성화하는 것이 좋습니다. 따라서, ajax의 XMLHttpRequest를 이용하여 modify.php에서 hidden 형태의 csrf 토큰을 읽고 요청에 토큰을 담아 보내는 것은 이러한 보호 기능을 우회하기 위한 하나의 방법일 수 있지만, Spring Boot에서는 기본적으로 CSRF 보호가 활성화되어 있기 때문에, 서비스의 보안 설정을 변경하지 않는 한 쉽게 우회할 수 없습니다.
추가적으로 CSRF 보호에 대한 자세한 정보는 Spring Security Reference Guide에서 찾아볼 수 있습니다.
Spring Boot Reference Documentation v3.1.5 > 13. Production-ready Features > 13.2. Endpoints > 13.2.3. Security > Cross Site Request Forgery Protection에서 더 자세히 확인하실 수 있습니다.
[실습2-2] 인증 우회 공격 오류
0
77
2
cmd로 검색하면 잘 나오는데 웹 페이지에서 작성하면 결과값이 안 나옵니다.
1
63
2
저 웹페이지는 어떻게 들어가나요?
0
93
1
맥북은 어떻게 설치해야 하나요?
0
141
1
XXE Injection 퀴즈에서 궁금한 점이 있습니다.
0
225
1
Burp Suite 관련 질문
0
105
2
실습 부분은 버프 사용법을 별도 공부를 하고 와야 따라하는게 가능 한 강의 인가요?
0
101
2
버프 스위트 설치 및 사용법에 대한 애매 모호함~
0
179
2
APMsetup 설치 부터 오류가 납니다.
0
217
1
' and 1=2 union select 'test','test',null~~ 검색하면 아무것도 없는 목록이 나와요
0
86
2
파일 업로드 취약점 공격 실습 웹쉘 미작동
0
174
1
CSRF 대응방안 궁금 사항 문의
0
128
2
php.ini가 아니라 php가 다운됩니다.
0
118
2
구문을 썼는데 삭제되지않아요
0
96
1
proxy switcher 다운로드 오류..
0
169
2
insecure_website 에러
0
144
2
취약환경 구축 not found 에러?
0
155
3
mysql 접속 에러
0
157
2
test' 부분이 실행되지않습니다.
0
114
2
monitor 이 안 켜져요
0
123
2
sql injection 공격이 가능한 순간 다른 기법을 사용하는건 비효율적이지 않나요?
0
186
2
리피터 글자가 깨짐현상
0
318
2
http://127.0.0.1/insecure_website/index.php 접속 에러 문제
0
135
2
실습6-1] CSRF공격을 통한 게시글 무단작성에서 오류가 발생합니다.
1
118
2