CSRF란 무엇인가요?
- CSRF(Cross-Site Request Forgery)는 나쁜 사람들이 인터넷에서 사용하는 공격 방법입니다[1][2]. 이 공격은 여러분이 웹사이트에 로그인한 상태에서 여러분이 원하지 않는 일을 하도록 속이는 방법입니다[3][5].
CSRF 공격은 어떻게 작동하나요?
- 여러분이 은행 웹사이트나 소셜 미디어에 로그인합니다
- 나쁜 사람이 특별한 링크나 이미지를 만듭니다
- 여러분이 그 링크를 클릭하거나 이미지를 보면, 여러분의 브라우저가 자동으로 로그인된 웹사이트에 요청을 보냅니다[1][3]
- 웹사이트는 여러분이 직접 요청한 것으로 생각하고 돈을 보내거나 계정 정보를 바꿉니다[4]
어떻게 보호할 수 있나요?
안티-CSRF 토큰
- 웹사이트들은 안티-CSRF 토큰이라는 특별한 비밀번호 같은 것을 사용합니다[5]. 이것은:
- 각 사용자마다 다른 특별한 코드입니다
- 진짜 사용자가 요청을 보내는지 확인하는 데 사용됩니다
- 나쁜 사람들은 이 코드를 알 수 없어서 공격할 수 없습니다
동일 출처 정책
- 브라우저에는 동일 출처 정책이라는 보안 규칙이 있습니다[2]. 이 규칙은:
- 다른 웹사이트끼리 서로의 정보를 함부로 가져갈 수 없게 합니다
- 하지만 CSRF 공격은 이 규칙을 우회할 수 있어서 위험합니다
어떤 종류의 공격이 있나요?
- CSRF 공격은 주로 다음과 같은 일들을 노립니다[4][5]:
- 돈을 다른 계좌로 보내기
- 비밀번호 바꾸기
- 개인정보 수정하기
- 게시물 올리기나 삭제하기
안전하게 인터넷 사용하는 방법
- 모르는 링크를 클릭하지 마세요
- 중요한 웹사이트 사용 후에는 로그아웃하세요
- 브라우저를 항상 최신 버전으로 업데이트하세요
- 의심스러운 이메일의 링크는 클릭하지 마세요
---
Sources
[1] https://www.youtube.com/watch?v=eWEgUcHPle0&t=139s
[2] https://www.blackduck.com/glossary/what-is-csrf.html
[3] https://portswigger.net/web-security/csrf
'정보보안' 카테고리의 다른 글
| XSS 공격과 CORS: 웹 보안의 핵심 개념 (0) | 2025.09.29 |
|---|---|
| 웹사이트 보안을 위한 React와 웹 보안 이슈 (0) | 2025.09.29 |
| 크로스 사이트 스크립팅(XSS) 이해하기 (0) | 2025.09.29 |