CSRF 공격시 hidden 필드로 csrf 토큰도 넣어주면 가능하지 않을까요?
공격 스크립트에 CSRF 토큰도 필드로 입력시켜주면 안될까요.?
그러면 세션에 유저의 CSRF 토큰값은 유지되고
파라미터로 넘길 CSRF 토큰도 유저의 토큰이어서 비교했을 때 같지 않을까요?
여기서 전제 조건은 유저의 CSRF토큰을 받을 수 있다는 건데 이건.. 어떻게 알 수 있을지 모르겠지만 안다고 가정하면? 될거 같다는 생각이 들었습니다.
답변 2
0
밑에 AI 답변을 참고하시면 될 듯 합니다.ㅎㅎ
그러나, Ajax로 csrf 토큰 추출 및 포함 시켜 하는 우회 방법이 있긴합니다.
따라서 Referer 체크까지 해주는게 안전합니다.
0
안녕하세요, 인프런 AI 인턴입니다. 쭈도리님, CSRF(Common Secure Request Forgery) 공격에서 CSRF 토큰을 사용하여 취약점을 보완하는 것은 일반적인 보안 대책입니다. 이 보안 대책의 강점은 사용자의 세션과 연계된 토큰이 없으면 중요한 요청의 처리가 불가능해진다는 점입니다.
CSRF 공격 스크립트에 유효한 CSRF 토큰을 포함시키는 것은 공격자에게 상당히 어려운 과제입니다. 왜냐하면, CSRF 토큰은 일반적으로 사용자 세션과 함께 서버에서 생성되며, 서버는 클라이언트에 이 토큰을 제공합니다. 따라서 공격자가 유효한 토큰을 알아내지 않는 한, 공격 스크립트에 CSRF 토큰을 포함시키는 것은 불가능합니다.
하지만, 잘못된 구현 또는 여타 취약점이 있는 경우 공격자가 CSRF 토큰을 유출하거나 추측하는 방법을 찾을 수 있을 수도 있습니다. 이를 방지하기 위해 토큰을 예상하기 어렵게 생성하고, 자주 변경하며, 서버 측에서 이를 철저히 검증하는 것이 중요합니다.
추가적으로 관련된 질문과 답변들을 확인하시려면 아래 링크들을 참고하시기 바랍니다:
저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다. 현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏 추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.
[실습2-2] 인증 우회 공격 오류
0
80
2
cmd로 검색하면 잘 나오는데 웹 페이지에서 작성하면 결과값이 안 나옵니다.
1
64
2
저 웹페이지는 어떻게 들어가나요?
0
95
1
맥북은 어떻게 설치해야 하나요?
0
143
1
XXE Injection 퀴즈에서 궁금한 점이 있습니다.
0
226
1
Burp Suite 관련 질문
0
106
2
실습 부분은 버프 사용법을 별도 공부를 하고 와야 따라하는게 가능 한 강의 인가요?
0
101
2
버프 스위트 설치 및 사용법에 대한 애매 모호함~
0
180
2
APMsetup 설치 부터 오류가 납니다.
0
221
1
' and 1=2 union select 'test','test',null~~ 검색하면 아무것도 없는 목록이 나와요
0
86
2
파일 업로드 취약점 공격 실습 웹쉘 미작동
0
174
1
CSRF 대응방안 궁금 사항 문의
0
129
2
php.ini가 아니라 php가 다운됩니다.
0
119
2
구문을 썼는데 삭제되지않아요
0
97
1
proxy switcher 다운로드 오류..
0
169
2
insecure_website 에러
0
144
2
취약환경 구축 not found 에러?
0
156
3
mysql 접속 에러
0
158
2
test' 부분이 실행되지않습니다.
0
115
2
monitor 이 안 켜져요
0
125
2
sql injection 공격이 가능한 순간 다른 기법을 사용하는건 비효율적이지 않나요?
0
190
2
리피터 글자가 깨짐현상
0
325
2
http://127.0.0.1/insecure_website/index.php 접속 에러 문제
0
136
2
실습6-1] CSRF공격을 통한 게시글 무단작성에서 오류가 발생합니다.
1
119
2