-
csrf
- 특징
- 서버에서 발생
- 인터넷 사용자의 의지와 무관하게 공격자가 의도한 행위를 요청하는 공격
- 페이스북에 인터넷 사용자의 계정으로 광고성 글을 올리는 것이 가능
- 방어방법
- referrer 검증
- request header에 있는 요청을 한 페이지의 정보가 담긴 referrer 속성을 통해 차단할 수 있다.
- 이 방법으로 대부분 방어가 가능하다.
- 같은 도메인에서 요청이 들어오지 않았다면 차단하는 방법이다.
- csrf 토큰 사용
- 서버에서 세션 검증을 통해 토큰을 함께 보내지 않는 요청은 차단하는 방법이다.
- captcha
- 캡차 이미지 상의 숫자나 문자가 아니라면 요청을 차단하는 방법이다.
- double submit cookie 검증
- 캡차 이미지 상의 숫자나 문자가 아니라면 요청을 차단하는 방법이다.
- referrer 검증
- 특징
-
xss: 클라이언트에서 발생
-
CSR(Ceritificate Signing Request): 인증 서명 요청
-
CRT(Certificate): 인증서, 인증서 파일의 확장자로 쓰임
-
X.509: 공개키 기반 인증서 형식 표준