CSRF 공격이란?
사이트 간 요청 위조(또는 크로스 사이트 요청 위조 Cross-site request forgery)는 사용자의 신뢰(인증) 정보 내에서 사용자의 요청을 변조함으로써 해당 사용자의 권한으로 악의적인 공격을 수행할 수 있는 취약점으로 사용자 의지와는 무관하게 공격자가 의도한 행위(수정, 삭제, 등록 등)를 특정 웹사이트에 요청하게 하는 공격 기법이다.
OWASP - CSRF 관련 참고사항
https://owasp.org/www-community/attacks/csrf
Cross Site Request Forgery (CSRF) | OWASP Foundation
Cross Site Request Forgery (CSRF) on the main website for The OWASP Foundation. OWASP is a nonprofit foundation that works to improve the security of software.
owasp.org
CSRF 점검
| 점검 내용 | 사용자의 신뢰(인증) 정보의 변조 여부 점검 |
| 점검 목적 | 사용자 입력 값에 대한 적절한 필터링 및 인증에 대한 유효성을 검증하여 신뢰(인증) 정보 내의 요청(Request)에 대한 변조 방지 |
| 점검 대상 | 웹 애플리케이션 소스코드, 웹 방화벽 |
1. XSS 취약점이 존재하는지 확인
xss 취약점이 존재하는지 확인하기 위해 'test'를 출력하는 경고창을 내보내는 스크립트를 삽입했다.
수정하여 제목에도 삽입하여 보았지만 반응을 하지 않았다.
문자열로 취급하는 것 같다.
2. 등록 및 변경 등의 데이터 수정 기능의 페이지가 있는지 조사함
글 수정 기능을 확인할 수 있었다.
3. 데이터 수정 페이지에서 전송되는 요청(Request) 정보를 분석하여 임의의 명령을 수행하는 스크립트 삽입 후 해당 게시글을 타 사용자가 열람하였을 경우 스크립트가 실행되는지 확인
스크립트 삽입이 수행되지 않는다...
보안 설정 방법
- 웹 사이트에 사용자 입력 값이 저장되는 페이지는 요청이 일회성이 될 수 있도록 설계한다.
- 사용 중인 프레임워크에 기본적으로 제공되는 CSRF 보호 기능 사용한다.
- 사용자가 정상적인 프로세스를 통해 요청하였는지 HTTP 헤더의 Referer 검증 로직 구현한다.
- 정상적인 요청(Request)과 비정상적인 요청(Request)를 구분할 수 있도록 Hidden Form을 사용하여 임의의 암호화된 토큰(세션 ID, Timestamp, nonce 등)을 추가하고 이 토큰을 검증하도록 설계한다.
- HTML이나 자바스크립트에 해당되는 태그 사용을 사전에 제한하고, 서버 단에서 사용자 입력 값에 대한 필터링을 구현한다.
- HTML Editor 사용으로 인한 상기사항 조치 불가 시, 서버 사이드/서블릿/DAO(Data Access Object) 영역에서 조치하도록 설계한다.
- XSS 조치 방안을 참조한다.