당신은 주제를 찾고 있습니까 “xss csrf 차이 – 크로스 사이트 스크립팅, XSS“? 다음 카테고리의 웹사이트 you.tfvp.org 에서 귀하의 모든 질문에 답변해 드립니다: you.tfvp.org/blog. 바로 아래에서 답을 찾을 수 있습니다. 작성자 코드없는 프로그래밍 이(가) 작성한 기사에는 조회수 2,752회 및 좋아요 48개 개의 좋아요가 있습니다.
– XSS는 공격대상이 Client이고, CSRF는 Server이다. – XSS는 사이트변조나 백도어를 통해 클라이언트에 대한 악성공격을 한다. – CSRF는 요청을 위조하여 사용자의 권한을 이용해 서버에 대한 악성공격을 한다.
xss csrf 차이 주제에 대한 동영상 보기
여기에서 이 주제에 대한 비디오를 시청하십시오. 주의 깊게 살펴보고 읽고 있는 내용에 대한 피드백을 제공하세요!
d여기에서 크로스 사이트 스크립팅, XSS – xss csrf 차이 주제에 대한 세부정보를 참조하세요
웹 보안 기초입니다.
알아야 겠죠
xss csrf 차이 주제에 대한 자세한 내용은 여기를 참조하세요.
XSS와 CSRF 차이점 – 보안이 하고싶은 joseph
XSS는 희생자 클라이언트 PC에서 실행되며 사용자의 정보를 탈취하는 것이고, CSRF는 위조된 요청을 서버에 보내어 서버단에서 스크립트가 실행됩니다. ☆ …
Source: securitymanjoseph94.tistory.com
Date Published: 12/5/2022
View: 9147
[Web] XSS와 CSRF(XSRF)의 차이점 – DR-Kim
XSS은 사용자가 특정 웹사이트를 신용하는 점을 노린 것이라면, CSRF는 특정 웹사이트가 사용자의 웹 브라우저를 신용하는 상태를 노린 것이다.
Source: dar0m.tistory.com
Date Published: 11/13/2021
View: 9799
XSS와 CSRF 특징 및 차이 – I-Tstory
Stored XSS는 사이트 게시판이나 댓글, 닉네임 등 스크립트가 서버에 저장되어 실행되는 방식이고, Reflected XSS는 보통 URL 파라미터(특히 GET 방식)에 …
Source: lucete1230-cyberpolice.tistory.com
Date Published: 1/2/2021
View: 5538
CSRF란 무엇인가? 그리고 XSS와의 차이점은?
웹 해킹, 보안 등에 대해 공부하다보면 CSRF에 대해 접해볼 기회가 있다. 그렇다면 CSRF는 뭘까? 그리고 어떤거기에 XSS와 같이 설명되며 비슷하다 …
Source: kk-7790.tistory.com
Date Published: 11/26/2021
View: 4105
XSS와 CSRF 차이점 설명과 사용자가 공격 예방하는 방법
CSRF 공격 대상 … 특정 서비스를 제공하는 서버를 대상으로 한다. … – XSS와 CSRF는 둘 다 스크립트 공격이다. – XSS는 사용자(희생자)의 PC에서 스크립트 …
Source: blackrose.tistory.com
Date Published: 1/6/2021
View: 9697
XSS와 CSRF 차이점 | 보안 방법 – 260
XSS와 CSRF 차이점 … XSS는 사용자가 웹 사이트를 신뢰하는 상황에서 발생하는 취약점이라면, CSRF는 웹 사이트가 사용자의 웹 브라우저를 신뢰하는 상황 …
Source: lyk00331.tistory.com
Date Published: 1/30/2021
View: 1981
웹해킹 XSS/CSRF 차이점 플래시로 보기
XSS(Cross-site scripting) 웹 애플리케이션에서 많이 나타나는 취약점의 하나로 웹사이트 관리자가 아닌 이가 웹 페이지에 악성 스크립트를 삽입할 수 있는 취약점 …
Source: lhjin.tistory.com
Date Published: 9/5/2021
View: 4729
XSS, CSRF – velog
XSS가 사용자가 서버를 신뢰하는 취약점을 공격한다면 CSRF는 서버가 인증된 사용자를 신뢰한다는 취약점을 공격하는 방법이다.
Source: velog.io
Date Published: 7/3/2022
View: 6272
[Web] XSS와 CSRF 공격의 특징 및 차이 – 포포의 개발공부방
[Web] XSS와 CSRF 공격의 특징 및 차이. 포포015 2021. 5. 25. 15:40. XSS(Cross-Site Scription). – 크로스 사이트 스크립팅(SQL 인젝션과 함께 웹에서 가장 기초적인 …Source: popo015.tistory.com
Date Published: 6/14/2022
View: 6539
주제와 관련된 이미지 xss csrf 차이
주제와 관련된 더 많은 사진을 참조하십시오 크로스 사이트 스크립팅, XSS. 댓글에서 더 많은 관련 이미지를 보거나 필요한 경우 더 많은 관련 기사를 볼 수 있습니다.
주제에 대한 기사 평가 xss csrf 차이
- Author: 코드없는 프로그래밍
- Views: 조회수 2,752회
- Likes: 좋아요 48개
- Date Published: 2019. 12. 17.
- Video Url link: https://www.youtube.com/watch?v=LfI6TAchgT4
XSS와 CSRF(XSRF)의 차이점
사이트 간 스크립팅(XSS: Cross-Site Scripting)
웹 애플리케이션에서 많이 나타나는 취약점의 하나로, 웹사이트 관리자가 아닌 이가 웹 페이지에 악성 스크립트를 삽입할 수 있는 취약점이다.
– 이 취약점은 웹 애플리케이션이 사용자로부터 입력 받은 값을 제대로 검사하지 않고 사용할 경우 나타난다. 주로 여러 사용자가 보게 되는 전자 게시판에 악성 스크립트가 담긴 글을 올리는 형태로 이루어진다.
– 이 취약점으로 해커가 사용자의 정보(쿠키, 세션 등)를 탈취하거나, 자동으로 비정상적인 기능을 수행하게 하거나 할 수 있다. 주로 다른 웹사이트와 정보를 교환하는 식으로 작동한다.
대응방안 :
1. script문장에 존재한 특수문자를 메타캐릭터로 변환시킨다.
< ---- < > —- >
( —- (
) —- )
# —- #
& —- &
2. Contents 구문 사용
3. Replace 구문 사용
사이트 간 요청 위조(CSRF: Cross-Site Request Forgery)
웹사이트 취약점 공격의 하나로, 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정, 삭제, 등록 등)를 특정 웹사이트에 요청하게 하는 공격을 말한다.
– XSS를 이용한 공격이 사용자가 특정 웹사이트를 신용하는 점을 노린 것이라면,
CSRF(사이트간 요청 위조)는 특정 웹사이트가 사용자의 웹 브라우저를 신용하는 상태를 노린 것이다.
– 일단 사용자가 웹사이트에 로그인한 상태에서 사이트간 요청 위조 공격 코드가 삽입된 페이지를 열면,
공격 대상이 되는 웹사이트는 위조된 공격 명령이 믿을 수 있는 사용자로부터 발송된 것으로 판단하게 되어 공격에 노출된다.
대응방안 :
1. CSRF 토큰 사용
2. 사용자와 상호 처리 기능 적용
3. 재인증 요구
쿠키 가로채기 – 입력값 검사: 웹페이지 입력폼에 사용자 입력 값 검사, 비정상 값은Reject
– 쿠키 사용: 쿠키에 중요정보 미포함 세션 변조 사용 – Query String 검사
– 민감 데이터나 값의 트랜잭션 위해 재인증이나 트랜잭션 서명 요청(GET 금지) 부정클릭 사용 – 유일한 토큰 사용 DRDoS – DoS 관련 취약점 제거
XSS와 CSRF의 차이요약
– XSS는 공격대상이 Client이고, CSRF는 Server이다.
– XSS는 사이트변조나 백도어를 통해 클라이언트에 대한 악성공격을 한다.
– CSRF는 요청을 위조하여 사용자의 권한을 이용해 서버에 대한 악성공격을 한다.
XSS와 CSRF 차이점
반응형
XSS와 CSRF의 차이점
오늘은 헷갈리기 쉬운 XSS와 CSRF의 차이점을 보도록 하겠습니다.
차이점을 설명하기에 앞서 XSS, CSRF가 뭔지 설명을 하면서 시작하곘습니다.
XSS(CSS) 크로스사이트 스크립트 란
출처 안랩
OWASP top 10 의 항목에도 들어가있을 정도로 웹어플리케이션의 취약점입니다.
XSS에도 공격하는 방식에따라 여럿 이름이 붙혀지는데 보통 XSS라고하면 Stored XSS(저장형 XSS)라고 암묵적으로 통용(?) 됩니다.
1) 공격자는 홈페이지를 통해 웹서버에 악성 스크립트가 포함된 게시물을 등록합니다
2) 웹서버는 이를 DB서버에 저장합니다
3) User는 공격자가 올린 악성스크립트를 포함한 게시글을 읽습니다
4) 이때 악성스크립트가 User PC에서 실행이되면서 각종 정보등이 공격자에게로 넘어갑니다
– 사용자 입력값에 대한 필터링이 제대로 이뤄지지 않을경우 공격자는 입력가능한 폼 ex)게시판 등에 악의적인 스크립트를 삽입하여 해당 스크립트가 희생자 PC에서 실행되는 취약점을 말합니다
– 공격자는 이런 공격을 통해 사용자의 개인정보, 세션쿠키정보, 악성코드 다운로드 등을 이용해 공격을 수행합니다
CSRF(크로스사이트 요청 변조)란?
출처 swk3169.tistory.com
얘도 OWASP top10의 취약점 중 하나이며 웹어플리케이션에서 중요 취약점 중 하나입니다.
XSS와 가장 큰 차이점은 스크립트가 실행되는 곳이 user 가 아니라 서버에서 실행 된다는 것입니다
1) 조작된 악성스크립트 정보를 담고있는 게시물을 등록합니다
2) 게시물은 DB서버에 저장됩니다
3) user는 게시판에 게시글을 클릭합니다
4) 웹서버에서 희새자의 권한의 조작된 요청내용이 처리되며 user로 응답합니다
– 웹 어플리케이션에서 정상적인 경로를 통한 요청과, 비정상적인 경로를 통한 요청을 서버가 구분하지 못할 경우 악의적인 스크립트를 이용해 조작된 요청정보를 전송하도록 하는 공격
ex)비밀번호 변경 등..
차이점 이것만 기억하시면 됩니다!!
XSS와 CSRF의 가장 큰 차이점은 공격이 실행되는 위치입니다.
XSS는 희생자 클라이언트 PC에서 실행되며 사용자의 정보를 탈취하는 것이고, CSRF는 위조된 요청을 서버에 보내어 서버단에서 스크립트가 실행됩니다.
★☆피드백은 언제나 환영입니다☆★
반응형
[Web] XSS와 CSRF(XSRF)의 차이점
이전에 XSS와 CSRF 에 대한 글을 작성한 점이 있지만 복습겸 차이를 분명히 하기 위해 다시 작성한다.
결론부터 말하자면,
XSS 는 공격대상이 Client 이고, CSRF 는 Server 이다.
XSS은 사용자가 특정 웹사이트를 신용하는 점을 노린 것이라면,
CSRF는 특정 웹사이트가 사용자의 웹 브라우저를 신용하는 상태를 노린 것이다.
따라서,
XSS는 사이트변조나 백도어를 통해 클라이언트에 대한 악성공격을 한다.
CSRF는 요청을 위조하여 사용자의 권한을 이용해 서버에 대한 악성공격을 한다.
XSS와 CSRF 특징 및 차이
728×90
안녕하세요 오늘은 XSS와 CSRF를 알아보고
두 공격의 차이점을 알아보도록 할께요!
출처 : https://www.netsparker.com/blog/web-security/cross-site-scripting-xss/
XSS(Cross-Site Scripting)란?
크로스 사이트 스크립팅(사이트 간 스크립팅 )은 SQL injection과 함께 웹 상에서 가장 기초적인 취약점 공격 방법의 일종으로, 악의적인 사용자가 공격하려는 사이트에 스크립트를 넣는 기법을 말한다. 주로 다른 웹사이트와 정보를 교환하는 식으로 작동하므로 사이트 간 스크립팅이라고 명칭한다.
이 취약점은 웹 애플리케이션이 사용자로부터 입력 받은 값을 제대로 검사하지 않고 사용할 경우 나타나며, 공격에 성공하면 사이트에 접속한 사용자는 삽입된 코드를 실행하게 된다. 보통 의도치 않은 행동을 수행시키거나 쿠키나 세션 토큰 등의 민감한 정보를 탈취한다.
크로스 사이트 스크립팅은 자바스크립트를 사용하여 공격하는 경우가 많다. 공격 방법이 단순하고 가장 기초적이지만, 많은 웹사이트들이 XSS에 대한 방어 조치를 해두지 않아 공격을 받는 경우가 많다. 여러 사용자가 접근 가능한 게시판 등에 코드를 삽입하는 경우도 많으며, 경우에 따라서는 메일과 같은 매체, 심지어는 닉네임에 코드를 심기도 한다.
공격 방법에 따라 Stored XSS와 Reflected XSS로 나뉜다. Stored XSS는 사이트 게시판이나 댓글, 닉네임 등 스크립트가 서버에 저장되어 실행되는 방식이고, Reflected XSS는 보통 URL 파라미터(특히 GET 방식)에 스크립트를 넣어 서버에 저장하지 않고 그 즉시 스크립트를 만드는 방식이다. 후술된 내용 대부분은 Stored XSS라고 생각하면 된다. Reflected XSS의 경우 브라우저 자체에서 차단하는 경우가 많아 상대적으로 공격을 성공시키기 어렵다.
Stored XSS와 Reflected XSS 차이는?
Stored XSS(저장형) Reflected XSS(반사형) ▶ 가장 일반적인 XSS공격 유형이다. ▶ 정상적 평문x -> 스크립트 코드를 입력한다. ▶ 사용자가 게시물을 열람시, 공격자가 입력해놓은 악성 스크립트가 실행되어 사용자의 쿠키 정보가 유출되거나, 악성 스크립트가 기획한 공격에 당하게 된다. ▶ 저장된(지속적) XSS공격은 공격자가 웹 애플리케이션을 속여 데이터베이스에 악성코드를 저장하도록 하는 수법이다. 서버에 저장된 악성코드는 시스템 자체를 공격 할 수 있으며 웹 앱 사용자 상당수 또는 전체에 악성 코드를 전송할 수 있게 된다. ▶ 일반적인 예로는 블로그 댓글에 악성코드를 게시하는 것이 있다. (해당 블로그를 방문하는 사람은 누구나 악성코드의 피해자가 될 수 있다.) ▶ 따라서 지속적(저장형) XSS 가장 위험한 XSS공격 유형이다. ▶ URL의 변수 부분처럼 스크립트 코드를 입력하는 동시에 결과가 바로 전해지는 공격기법이다. ▶ 반사된 XSS는 피싱 공격의 일부로 자주 사용되며 악용하기도, 차단하기도 가장 쉽다. ▶ 공격자가 HTTP 요청에 악성 콘텐츠를 주입하면 그 결과가 사용자에게 “반사되는” 형태이다. ▶ 링크를 클릭하도록 피해자를 속이고, 유인해 세션을 하이재킹 할 수 있는 공격이다. ▶ 반사된 XSS는 피싱 공격에서 가장 많이 사용된다. ▶ 웹 애플리케이션은 악성코드를 피해자에게 반사해 피해자의 웹 브라우저에서 악성코드를 실행할 수 있다. 출처 : https://dlsdn73.tistory.com/634
CSRF(Cross-Site Request Fogery)란?
사이트 간 요청 위조(또는 크로스 사이트 요청 위조, CSRF, XSRF)는 웹 사이트 취약점 공격의 하나로,
사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정, 삭제, 등록 등)를 특정 웹사이트에 요청하게 하는 공격을 말한다.
유명 경매 사이트인 옥션에서 발생한 개인정보 유출 사건에서 사용된 공격 방식 중 하나다.
사이트 간 스크립팅(XSS)을 이용한 공격이 사용자가 특정 웹사이트를 신용하는 점을 노린 것이라면, 사이트간 요청 위조는 특정 웹사이트가 사용자의 웹 브라우저를 신용하는 상태를 노린 것이다. 일단 사용자가 웹사이트에 로그인한 상태에서 사이트간 요청 위조 공격 코드가 삽입된 페이지를 열면, 공격 대상이 되는 웹사이트는 위조된 공격 명령이 믿을 수 있는 사용자로부터 발송된 것으로 판단하게 되어 공격에 노출된다.
CSRF는 공격자가 사용자의 컴퓨터를 감염시키거나 사이트 해킹을 해서 이뤄지는 공격이 아니므로 공격이 성공하려면 다음 조건을 만족해야 한다.
1. 위조 요청을 전송하는 서비스(ex : 페이스북)에 희생자가 로그인 상태여야함.
2. 희생자는 공격자가 만든 피싱 사이트에 접속해야함.
XSS vs CSRF
▶ XSS(Cross-Site Scripting) ▶ CSRF(Cross-Site Request Forgery) ○ 개요 : 악성 스크립트가 클라이언트에서 실행됨
○ 공격 대상 : 클라이언트
○ 목적 : 쿠키ㆍ세션 갈취, 웹사이트 변조 등 ○ 개요 : 권한을 도용당한 클라이언트가 가짜 요청을 서버에 전송
○ 공격 대상 : 서버
○ 목적 : 권한 도용
XSS공격과 CSRF는 사용자(피해자)의 브라우저를 목표로 하는 비슷한 공격이지만
XSS는 사이트변조나 백도어를 통해 클라이언트에 대한 악성공격을 하고,
인증된 세션이 없어도 공격을 할 수 있으며, 자바 스크립트를 실행 시키는 공격.
CSRF는 요청을 위조하여 사용자의 권한을 이용해 서버에 대한 악성공격을 하고,
인증된 세션을 악용하며, 특정한 행동을 실행 시키는 공격이라는 점에서
두가지 공격의 차이가 있다.
그렇다면 두 공격의 방지대책 에 대해서 알아보도록 하겠습니다.
XSS의 방지 대책 CSRF의 방지 대책 1. 쿠키에 중요한 정보를 담지 않고 서버에 중요정보를 저장하는 방법 2. 정보를 암호화 하는 방법 3. httponly 속성 on (자바스크립트의 document.cookie를 이용해서 쿠키에 접속하는 것을 막는 옵션으로, 쿠키를 훔쳐가는 행위를 막기 위한 방법이다.) 4. Secure coding (str_replace <치환함수로 XSS방지 대책이지만 미흡한 부분이 있다 -> url encoding> htmlspecialchars ..등 보안과 관련된 함수를 사용한다.) ▶ Encoding : 특정 플랫폼에서 문자를 표현하기 위한 규약 1. Referrer 검증 (Back -end 단에서 request 의 referrer을 확인하여 domain이 일치하는지 검증하는 방법) 2. Security Token 사용 (Reffer검증이 불가한 환경일 시, Security Token을 활용한다. 사용자 세션에 임의의 난수 값을 저장하고, 사용자의 요청마다 해당 난수 값을 포함 시켜 전송한다. 이후 Back -end 단에서 요청을 받을 떄마다 세션에 저장된 토큰 값과 요청 파라미터에 전달되는 토큰 값이 일치한지 검증하는 방법) 두 방법 모두 같은 도메인 내에 XSS취약점이 있다면 CSRF 공격에 취약 해질 수 있다.출처 : https://dlsdn73.tistory.com/634
이렇게 XSS와 CSRF 공격을 알아보았는데요
이해가 좀 되셨나요!?
혹시 부족한 점이있거나 오류가 있는 부분은 언제든지 말씀해주세요!
다들 열공 하세요!~
반응형
CSRF란 무엇인가? 그리고 XSS와의 차이점은?
웹 해킹, 보안 등에 대해 공부하다보면 CSRF에 대해 접해볼 기회가 있다.
그렇다면 CSRF는 뭘까? 그리고 어떤거기에 XSS와 같이 설명되며 비슷하다 하는 걸까?
CSRF란?
– CSRF란 언어 그대로 풀이하면 Cross-Site-Request-Forgery 의 약어이다.
사이트 사이 요청을 위조한다는 의미를 가지고 있다.
– 사용자와 특정 웹간의 통신을 할때 Request와 Response를 분석해서 Request(요청)을 위조하여 공격자가 원하는 행위를 하게 만드는 공격이라 할 수 있다.
– 사용자는 자신이 의도 했던 것과 무관하게 공격자가 의도한 행위를 하게 만드는 공격으로, 회원정보 변경, 데이터의 수정/삭제, 게시글 내용 변경 등을 할 수 있다.
– 특정 사용자의 권한이 필요할때 (EX: 관리자 권한) 타겟이 로그인 된 상태에서 악성 스크립트가 존재하는 페이지 또는 악성 URL을 통해 공격이 가능하다.
– CSRF의 공격은 악성 스크립트가 아니더라도 가능하다.
CSRF 공격 방식
참조 : https://stupidsecurity.tistory.com/18
공격방식은 위 사진과 같다.
1. 악성 스크립트등을 통해 조작할 내용의 게시글 작성
2. 악성 게시글은 DB에 저장됨
3. 관리자 또는 특정 사용자(희생자)가 공격자가 작성한 게시글을 클릭
4. 악성 게시글은 사용자가 웹 클라이언트를 통해 읽혀지는 동안 클라이언트 언어로 인식되어 동작
4-1. 악성 스크립트가 동작하며 특정 사용자의 권한이 필요할 경우 해당 권한을 통해 동작함
5. 희생자에겐 정상적인 게시글로 동작
이런 방식을 통해 악성 게시글을 사용해 사용자를 공격할 수 있다.
공격 방식 외에 해당 공격을 CSRF라 할 수 있는 특징은 다음과 같다.
CSRF의 특징
– XSS와 함께 웹에서 가장 효과적인 공격방법
– 단, 스크립트가 없어도 공격이 가능한 방법
– 정상 사용자를 통해 공격이 진행되므로 공격자의 정보(IP등)를 추적하는 것이 불가능
– Session Hijacking과 비슷한 권한을 도용한 공격이라 할 수 있다.
CSRF 방지법
CSRF의 공격이 일어나는 것을 방지하기 위해선 다음과 같은 방법이 존재한다.
1. 위조 방지 토큰 사용
– 특정 권한이 필요한 페이지(EX: 회원 정보 수정 등)는 해당 페이지와 실제 동작이 일어나는 페이지사이에 토큰을 생성해 그 값을 비교하여 토큰이 존재하지 않거나 다른 경우 동작을 허용하지 않는 방법이 있다.
2. Referer 값 이용
– 프록시 툴, 패킷 등을 통해 확인하면 다른 페이지로 이동할 경우 그전 페이지 정보를 가지고 이동한다. 이때 전페이지 정보가 없거나, 외부 사이트에서 요청을 한 경우 요청을 처리하지 않는 방법이 있다.
3. 캡챠 사용
– 회원정보 변경, 게시글 작성 등 CSRF의 공격을 막아야 하는 페이지에서 캡챠를 사용해 인증이 가능한 것만 요청을 처리해주는 방법이 있다.
– 캡챠는 랜덤 이미지를 통해 인증이 되므로 사용자 몰래 요청하는것이 불가능 하다는 장점이 있다.
마지막으로 CSRF는 XSS와 공통점과 차이점은 어떤게 있을까?
CSRF와 XSS의 차이점
CSRF와 XSS의 차이점은 위의 표와 같다.
엄연히 둘은 비슷하다 할 수 있지만, 전혀 다른 공격인 것을 인지하는 것이 중요하다.
반응형
XSS와 CSRF 차이점 설명과 사용자가 공격 예방하는 방법
반응형
XSS(Cross Site Scripting) 공격 특징
공격자가 상대방의 브라우저에서 스크립트가 실행되도록 만드는 방식이다.
사용자의 세션을 가로채기, 웹사이트 변조, 악의적 콘텐츠를 삽입하거나, 피싱 공격을 진행하는 것
주로 스크립트 코드를 삽입해서 입력이 되면 위와 같은 공격이 진행된다.
XSS 공격 대상
사이트를 방문하는 무차별적인 사람을 대상으로 공격한다. 즉, 게시판에 글을 올리면 클릭하는 사람을 대상이 피해자가 된다.
사용자가 XSS를 예방하는 방법
홈페이지 시스템에서 게시글 올려보기
예) 안녕하세요 테스트합니다.
이렇게 스크립트에서 경고창 띄우는 함수 사용하여 글을 올림
내가 올린 게시판을 클릭하여 경고창이 뜨면 해당 사이트 사용 금지
언제까지? 조치될 때까지 사용하지 말아야 한다.
CSRF(Cross-site request forgery) 공격 특징
사용자가 특정 웹사이트를 공격자가 원하는 방식으로 공격하게 만드는 방식이다.
흔히 사용하는 방법은 이메일로 사이트에 로그인하게 만들게 하는 링크를 건다. 예) 계좌이체 링크
클릭하게 되면 로그인하고, 공격자가 의도한 대로 돈을 자동으로 송금된다.
CSRF 공격 대상
특정 서비스를 제공하는 서버를 대상으로 한다.
사용자가 CSRF를 예방하는 방법
1. 사용하지 않는 웹페이지 로그아웃
2. 사용자 이름 및 암호 보안하기
3. 브라우저가 비밀번호 기억하지 못하게 하기
정리
– XSS와 CSRF는 둘 다 스크립트 공격이다.
– XSS는 사용자(희생자)의 PC에서 스크립트가 실행된다.
– CSRF는 서버에서 스크립트가 실행된다.
반응형
CSRF | XSS와 CSRF 차이점 | 보안 방법
CSRF 란?
CSRF는 사이트 간 요청 위조라는 뜻으로, 사용자의 의지와 무관하게 웹 사이트에 요청을 보낼 수 있다.
공격자가 클라이언트에게 form이 담긴 html 코드를 보내면, 클라이언트는 해당 페이지로 연결되어 코드가 실행된다. 해당 form에는 악성 스크립트가 담겨있어, 자동으로 스크립트 값을 넘기게 되어 방문자가 원치 않는 동작을 하게 된다.
실습(burp suite 사용)
1. 기존의 로그인 정보는 아이디가 lyk00331이다.
2. 다음과 같은 코드를 동작시킴으로써, 다른 아이디인 csrf-lyk00331로 로그인할 수 있게 했다.
value에는 기존 아이디인 lyk00331의 패스워드를 적어준다.
3. 확인해보면 csrf-lyk00331로 로그인된 것을 알 수 있다.
XSS와 CSRF 차이점
XSS는 사용자가 웹 사이트를 신뢰하는 상황에서 발생하는 취약점이라면, CSRF는 웹 사이트가 사용자의 웹 브라우저를 신뢰하는 상황에서 발생한다.
보안 방법
예시로 비밀번호를 변경하는 과정에서는 기존 비밀번호를 입력해야만 비밀번호를 수정할 수 있게 한다. 또한 도메인이 일치하는지 검증하는 referrer 검증을 진행하고, Token을 사용하여 보안을 강화하는 방법이 존재한다.
referrer 검증
referrer란, 웹 브라우저를 돌아다닐 때 하이퍼링크를 통해 이전 페이지가 흔적에 남는 것을 말한다. referrer 검증을 통해 referrer 값이 들어오지 않았을 경우, 파라미터를 통해 값을 보내더라도 이전 페이지에 대한 정보가 존재하지 않기 때문에 제대로 값이 전달되지 않아 오류가 발생하게 한다.
CSRF Token
CSRF Token은 접속 시마다 새로 생성되는 토큰으로, 새로고침을 할 때마다 계속 바뀐다. 이 값은 접속자가 아니면 알 수 없으며, 세션에 저장된다. 클라이언트가 요청할 때마다 해당 난수 값을 포함하여 전송한다. 세션에 저장된 Token 값과 요청 파라미터에 전달된 Token 값이 같은지 검사하여 공격자의 직접적인 url 사용이 동작하지 않도록 한다.
웹해킹 XSS/CSRF 차이점 플래시로 보기
XSS(Cross-site scripting)
웹 애플리케이션에서 많이 나타나는 취약점의 하나로 웹사이트 관리자가 아닌 이가 웹 페이지에 악성 스크립트를 삽입할 수 있는 취약점
주로 여러 사용자가 보게 되는 전자 게시판에 악성 스크립트가 담긴 글을 올리는 형태로 이루어진다.
이 취약점은 웹 애플리케이션이 사용자로부터 입력 받은 값을 제대로 검사하지 않고 사용할 경우 나타남
이 취약점으로 해커가 사용자의 정보(쿠키, 세션 등)를 탈취하거나, 자동으로 비정상적인 기능을 수행하게 하거나 할 수 있다.
[플래시로 보기]CSRF(Cross-site request forgery)
웹사이트 취약점 공격의 하나로, 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정, 삭제, 등록 등)를 특정 웹사이트에 요청하게 하는 공격
일단 사용자가 웹사이트에 로그인한 상태에서 CSRF 공격 코드가 삽입된 페이지를 열면,
공격 대상이 되는 웹사이트는 위조된 공격 명령이 믿을 수 있는 사용자로부터 발송된 것으로 판단하게 되어 공격에 노출된다.
[플래시로 보기]XSS/CSRF 차이점
XSS을 이용한 공격이 사용자가 특정 웹사이트를 신용하는 점을 노린 것이라면,
CSRF는 특정 웹사이트가 사용자의 웹 브라우저를 신용하는 상태를 노린 것
[Web] XSS와 CSRF 공격의 특징 및 차이
XSS(Cross-Site Scription)
– 크로스 사이트 스크립팅(SQL 인젝션과 함께 웹에서 가장 기초적인 취약점 공격 방법의일종)
악의적인 사용자가 공격하려는 사이트에 스크립트를 넣는 기법을 말한다.
이 취약점은 웹 애플리케이션이 사용자로부터 입력받은 값을 제대로 검사하지않고 사용할경우 나타난다.
보통 의도치않은 행동을 수행시키거나, 쿠키나 세션 토큰등의 민감한정보를 탈취한다
(보통 악의적인 스크립트 삽입!)
CSRF(Cross-Site Request Fogery)
– 사이트간 요청위조 , 웹사이트 취약점 공격의 하나로,
사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정,삭제,등록)를 특정웹사이트에 요청하게 하는 공격
사용자가 웹사이트에 로그인한 상태에서 사이트간 요청 위조 공격 코드가 삽입된 페이지를 열면, 공격대상이 되는
웹사이트는 위조된 공격 명령이 믿을수 있느 사용자로부터 발송된것으로 판단하게 되어 공격에 노출됨
(보통 이미지같은곳에 악의적인 코드를 삽입해 특정사이트를 공격하도록함)
키워드에 대한 정보 xss csrf 차이
다음은 Bing에서 xss csrf 차이 주제에 대한 검색 결과입니다. 필요한 경우 더 읽을 수 있습니다.
이 기사는 인터넷의 다양한 출처에서 편집되었습니다. 이 기사가 유용했기를 바랍니다. 이 기사가 유용하다고 생각되면 공유하십시오. 매우 감사합니다!
사람들이 주제에 대해 자주 검색하는 키워드 크로스 사이트 스크립팅, XSS
- 노코프
- 시큐리티
- 크로스 사이트 스크립팅
- XSS
- 웹 보안
- 웹 시큐리티
- 보안
- 크로스 사이트
- CSRF
크로스 #사이트 #스크립팅, #XSS
YouTube에서 xss csrf 차이 주제의 다른 동영상 보기
주제에 대한 기사를 시청해 주셔서 감사합니다 크로스 사이트 스크립팅, XSS | xss csrf 차이, 이 기사가 유용하다고 생각되면 공유하십시오, 매우 감사합니다.
