CSRF

• 서버가 신뢰하는 client를 신뢰한다는 점을 노린 공격
• 예를들어, 은행이 ‘A’를 신뢰하고 있다 가정하자. 만일 내가 ‘A’의 client side에 악성 스크립트를 주입하여 “‘A’가 ‘B’에게 100만원을 송금”하는 요청을 보내는 것.
• Target이 스크립트를 실행하게 하기 위하여 메일을 보내거나, 게시판을 작성하여 이용자가 조회하도록 하는 방법이 있다.
  • CSRF 공격의 예시. <img>태그와 <Form> 등을 이용하였다.

XSS와 CSRF의 차이

• 공통점
  • 클라이언트를 대상으로 , 이용자가 악성 스크립트가 포함된 페이지에 접속하도록 유도
• 차이점
  • XSS
    • 세션 및 쿠키의 탈취를 목적으로 하는 공격. 공격할 사이트의 오리진에서 실행
  • CSRF
    • 이용자가 임의 페이지에 HTTP 요청을 보내는 것이 목적.