XSS(Cross Site Scripting)
: script를 클라이언트단에서 보내어 명령어를 실행시키는 공격
CSRF/XSRF(Cross-site request forgery)
: 요청을 위조하는 공격
공격방법
- 관리자 메일주소 아래 태그를 붙여 전송한다.
- <img src="http://auction.com/changeUserAcoount?id=admin&password=admin" width="0" height="0">
- 이미지크기가 0으로 되어있기때문에 관리자가 메일을 볼경우 이미지가 노출되지 않는채로 url이 실행된다.
- url이 실행되면 계정의 정보가 변경된다.
방어방법
더보기
referrer 속성 검증
request header에 있는 요청을 한 페이지의 정보가 담긴 referrer 속성을 검증하여 차단.
일반적으로 이 방법만으로도 대부분 방어가 가능할 수 있다.
옥션이 아닌 개인 이메일에서 요청이 들어오는 것처럼,
같은 도메인 상에서 요청이 들어오지 않는다면 차단하도록 하는 것이다.
Method를 POST로 호출
변경/추가/삭제 API를 POST로 호출 시 URL에 정보가 기입되지 않기 때문에 어떤 대상을 추가/변경/삭제할지 몰라 공격을 막을 수 있다. 다만, URL에 정보없이 호출 시 전체삭제가 되는 경우 문제가 크다. 이점을 고려하자.
SQL Injection
'보안' 카테고리의 다른 글
| JWT 인증기반 (0) | 2020.06.09 |
|---|---|
| Session/Cookie 기반 인증 (0) | 2020.06.09 |
| SSO(Single Sign On) 통합인증 (0) | 2020.06.09 |
| JWT (0) | 2019.10.22 |