CSRF토큰 응답
355
작성한 질문수 5
사용자가 서버의 기능을 요청하면
서버는 랜덤생성된 CSRF토큰을 응답하고
그때서야 사용자가 원하던 서버의 기능이 CSRF토큰 담아 요청되는 것인가요?
---
사용자가 공격자의 사이트에서 이미지 클릭해도
서버는 사용자한테 CSRF토큰 응답하고
사용자는 받은 CSRF토큰을 담아 요청을 하게 되는것으로 이해됩니다 ㅠㅠ
어디서 CSRF가 방지되는것인가요
답변 1
3
네
csrf 공격은 간단히 요약하면 다음과 같습니다.
사용자가 본인이 속한 시스템에 접속하고 인증을 받은 상태라고 가정합니다.
이 때 세션이 생성되고 csrf 기능이 활성화 되어 있다면 서버는 응답헤더에 csrf 쿠키를 담아서 사용자에게 보냅니다.
이 상태에서 사용자가 공격자의 사이트에서 이미지를 클릭하게 되면 실제로는 공격자의 사이트이지만 소스 내부적으로는 전송하는 사이트가 사용자 본인의 시스템으로 되어 있는 것입니다.
그러면 사용자는 이미 본인의 속한 시스템에 인증을 받은 상태이고 세션까지 생성되어 있기 때문에 비록 공격자의 사이트에서 액션을 취하지만 서버에서는 사용자가 가지고 온 세션을 보관하고 있기 때문에 그대로 접근을 허용해 버립니다.
이럴 경우 사용자의 서버는 이전에 사용자에게 발급한 csrf 쿠키를 요청하게 되고 서버에 보관한 csrf 쿠키와 비교해서 일치하는지 여부를 판단하게 됩니다.
즉 서버에서 csrf 기능이 활성화 되어 있고 사용자의 최초 접속이 아닌 세션이 생성되어 있는 상태라면 무조건 csrf 를 검사하게 됩니다.
그렇기 때문에 공격자의 사이트에서 사용자의 시스템에 접속할 때 서버에서 발급한 csrf 쿠키를 가지고 가지 않으면 차단됩니다.
그리고 공격자의 사이트에는 csrf 쿠키가 존재하지 않고 만약 임의로 만들어도 서버의 값과 일치할 확률이 제로이기 떄문에 공격자의 침입으로 부터 안전하게 도비니다.
개념자체가 그렇게 어렵지 않으니 강의를 찬찬히 다시 보시기 바랍니다.
시큐리티 공부 버전 질문
0
192
1
[해결 방법] MethodSecurityConfig.customMethodSecurityMetadataSource() 호출하지 않는 이슈
0
199
1
AbstractSecurityInterceptor.class.beforeInvocation()를 2번 실행하는 경우
0
187
1
강의 코드가 왜이렇게 뒤죽박죽인가요...
0
271
1
메인 페이지로 접속해도 login url로 리다이렉트가 되지 않습니다..
0
248
1
파라미터값이 넘어가지 않습니다 ....
0
382
1
security filterChain 설정 질문이 있습니다.
0
337
1
소스 부분 질문 드립니다.
0
214
2
섹션4 7번 강의 문제가 있는거 같네요.
0
352
2
파일이 수시로 이름이 바껴있네요 ㄷㄷ
0
312
1
HttpSessionSecurityContextRepository를 사용안하는 문제
0
566
2
error , exception 이 잘 안됩니다.
0
290
2
thymeleaf tag 질문합니다.
0
201
2
버전업하면서 deprecated된 것들이 너무많아요
0
483
1
spring security 패치 관련
0
443
1
모바일을 사용할때 토큰말고 세션
0
870
2
DB 연동한 인가 부분에 대한 질문입니다!
0
270
1
Ajax방식도 똑같이 Session방식을 사용하는건가요?
0
314
1
Config 파일 생성 시 질문이 있습니다.
0
238
1
강사님 몇일동안 구글 검색만 100개 했는데도 이유를 모르겠습니다..
1
443
2
403 에러 뜹니다.
0
832
2
login_proc의 존재에 대한 간략한 설명입니다
0
284
1
top.html에 로그인 링크를 만들어서 로그인을 해봤습니다
0
295
2
안녕하세요. DB에 저장될 때 이해 안 가는 값이 있어서 질문드립니다!
0
196
1