https://shop.com/address=공격자주소 csrf 값이 없습니다
296
작성한 질문수 49
강의 7분 6초 즈음에 말씀하신 "https://shop.com/address=공격자주소에 대해서는 csrf 토큰 값이 없습니다" 라는 설명이 잘 이해가 되지 않습니다. csrf 토큰은 처음 요청 때 서버로부터 이미 받은 거 아닌가요?
공격자는 나의 csrf 토큰을 모른다고 하셨는데, 어차피 저 링크를 클릭해서 서버로 요청을 보내는 것도 저 아닌가여? 아니면 저런 식으로 요청을 보낼 때 header에 csrf 토큰을 담게끔 코드가 구현되지 않았기 때문에 csrf 토큰이 안 담긴 채로 서버로 보내진다는 뜻인지요...
답변 1
1
네
링크를 클릭한다는 의미는 사용자로 하여금 공격자가 유인한 사이트에서 실행한다는 의미입니다.
즉 공격자는 사용자가 이용하는 서비스의 URL 값을 자신이 만든 사이트에 심어 놓고 사용자를 유인한다음 링크를 클릭하게 해서 실제 사용자의 서비스에 접속이 되도록 한다는 의미입니다.
사용자는 이미 로그인이 되어 있기 때문에 세션 쿠키가 만들어진 상태이고 공격자가 심어 놓은 URL 의 액션을 실행한다고 해도 사용자의 서비스 시스템은 정상적인 사용자의 액션이라고 판단하게 됩니다.
그런데 사용자의 서비스 시스템이 해당 액션에 대해 csrf 토큰값을 요구할 경우 공격자의 사이트에는 사용자 서비스에서 사용자에게 발행한 csrf 토큰값을 알수가 없기 때문에 접근이 거부 됩니다.
시큐리티 공부 버전 질문
0
180
1
[해결 방법] MethodSecurityConfig.customMethodSecurityMetadataSource() 호출하지 않는 이슈
0
187
1
AbstractSecurityInterceptor.class.beforeInvocation()를 2번 실행하는 경우
0
182
1
강의 코드가 왜이렇게 뒤죽박죽인가요...
0
257
1
메인 페이지로 접속해도 login url로 리다이렉트가 되지 않습니다..
0
240
1
파라미터값이 넘어가지 않습니다 ....
0
376
1
security filterChain 설정 질문이 있습니다.
0
334
1
소스 부분 질문 드립니다.
0
210
2
섹션4 7번 강의 문제가 있는거 같네요.
0
345
2
파일이 수시로 이름이 바껴있네요 ㄷㄷ
0
308
1
HttpSessionSecurityContextRepository를 사용안하는 문제
0
559
2
error , exception 이 잘 안됩니다.
0
285
2
thymeleaf tag 질문합니다.
0
198
2
버전업하면서 deprecated된 것들이 너무많아요
0
479
1
spring security 패치 관련
0
439
1
모바일을 사용할때 토큰말고 세션
0
856
2
DB 연동한 인가 부분에 대한 질문입니다!
0
265
1
Ajax방식도 똑같이 Session방식을 사용하는건가요?
0
309
1
Config 파일 생성 시 질문이 있습니다.
0
228
1
강사님 몇일동안 구글 검색만 100개 했는데도 이유를 모르겠습니다..
1
435
2
403 에러 뜹니다.
0
814
2
login_proc의 존재에 대한 간략한 설명입니다
0
277
1
top.html에 로그인 링크를 만들어서 로그인을 해봤습니다
0
288
2
안녕하세요. DB에 저장될 때 이해 안 가는 값이 있어서 질문드립니다!
0
192
1