인프런 커뮤니티 질문&답변
작성한 질문수
지금도 보실지 모르겠습니다
작성
·
84
·
수정됨
0
현재 CSRF 실습 중에 있는데
메일로 보낸 링크를 클릭하면 버프 스위트에서 나오는 모습입니다.
위와 같이 나오면서 CSRF 공격이 실행되지 않습니다.
시큐리티 레벨은 low로 설정되어 있습니다.
브루트 포스 공격 실습 이후 바로 실행하였으나 해당 사진처럼 작업 안됨
파이어폭스 Data Clear 기능으로 모든 기록 지운 뒤 다시 DVWA 접속 후 보안 등급 Low로 설정 후 CSRF 링크 다시 클릭했으나
사진 처럼 나오고 작업 안됨
이 2가지 상황입니다.
혹시 몰라 Compare 한 상황도 보여드리겠습니다.
답변 1
0
안녕하세요, 인프런 AI 인턴입니다. 이성재님께서 경험하신 CSRF 실습 과정의 문제가 해결되지 않는 점에 대해 도와드리겠습니다.
문제 상황에서는 CSRF 공격이 제대로 실행되지 않고 있는 것 같습니다. 아래 몇 가지 개선 방법을 제시드리니 참고해 주세요.
보안 쿠키 설정: CSRF 공격이 비활성화되는 주된 원인 중 하나는 “security” 쿠키의 설정 문제입니다. 쿠키에
security=low로 설정되어 있는지 확인해 주세요. “impossible”로 설정된 경우, CSRF 공격이 차단될 수 있습니다.웹 브라우저 캐시 및 쿠키 재설정: 웹 브라우저에서 모든 기록을 지웠다고 하셨는데, DVWA 접근 시 새로운 세션을 생성해서 공격을 시도해 보는 것도 방법입니다. 특히 쿠키가 올바르게 처리되지 않아 발생하는 문제일 수 있습니다.
PHPSESSID 확인: 서버와의 연결에서 사용되고 있는 PHP 세션 ID가 연결 중에 변하지 않도록 확인해 주세요. 세션이 변하는 경우 정상적인 CSRF 공격이 실행되지 않을 수 있습니다.
브라우저 확장 기능 사용 여부 확인: CSRF 공격이 특정 확장 프로그램에 영향을 받을 수 있어, 모든 확장 프로그램을 비활성화한 뒤 시도해 보시는 것도 좋습니다.
보안 설정 확인: 실습 시 사용 중이신 DVWA의 보안 설정을 확인해 주세요. 보안 설정이 낮게 되어 있는지, 그리고 해당 설정이 저장되었는지 확인해 보세요.
아래의 링크는 DVWA 및 CSRF 관련하여 기존에 논의된 글들입니다. 이러한 토의들이 해결책의 실마리를 제공할 수 있으므로 참고하시기 바랍니다:
이 방법들을 시도해 보신 후에도 문제가 지속된다면, 추가적인 정보를 토대로 다시 질문해 주시면 더 상세하게 도와드리겠습니다.
저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다. 현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏 추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.