이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다.
A8 - Cross-Site Request Forgery (CSRF)
크로스 사이트 요청 변조 (Cross-Site Request Forgery, CSRF)는 공격자에 의해 사용자가 의도하지 않은 악의적인 행위를 서버에 요청하는 취약점 공격입니다. 사회 공학의 약간의 도움(예: 이메일 또는 채팅을 통한 링크 전송)으로 공격자는 웹 응용 프로그램 사용자를 속여 공격자가 선택한 작업을 실행하도록 할 수 있습니다. 피해자가 일반 사용자인 경우 성공적인 CSRF 공격은 사용자가 자금 이체, 이메일 주소 변경 등과 같은 상태 변경 요청을 수행하도록 할 수 있습니다. 피해자가 관리 계정인 경우 CSRF는 전체 웹 애플리케이션을 손상시킬 수 있습니다.
XSS와 CSRF는 비슷해 보이지만 다른 취약점 유형 입니다. XSS는 공격 대상이 사용자이지만 CSRF는 악의적인 요청을 웹사이트에 한다는 것에서 차이점이 있습니다.
설명
CSRF 공격은 피해자의 이메일 주소나 비밀번호를 변경하거나 무언가를 구매하는 것과 같이 서버의 상태를 변경하는 기능을 대상으로 합니다. 피해자가 데이터를 검색하도록 강제하는 것은 공격자가 응답을 수신하지 않고 피해자가 수신하기 때문에 공격자에게 이익이 되지 않습니다. 따라서 CSRF 공격은 상태 변경 요청을 대상으로 합니다.
공격자는 CSRF를 사용하여 로그인 CSRF라고 하는 특별한 형태의 공격을 통해 피해자의 개인 데이터를 얻을 수 있습니다. 공격자는 인증되지 않은 사용자가 공격자가 제어하는 계정에 로그인하도록 합니다. 피해자가 이를 인지하지 못하면 신용 카드 정보와 같은 개인 데이터를 계정에 추가할 수 있습니다. 그런 다음 공격자는 계정에 다시 로그인하여 웹 애플리케이션에서 피해자의 활동 기록과 함께 이 데이터를 볼 수 있습니다.
참고
https://owasp.org/www-community/attacks/csrf
'Code::Security > 비박스(BWAPP)' 카테고리의 다른 글
| 비박스(bWAPP) A8 CSRF (Change Secret) (0) | 2022.10.11 |
|---|---|
| 비박스(bWAPP) A8 CSRF (Change Password) (0) | 2022.10.07 |
| 비박스(bWAPP) A7 XML External Entity Attacks (XXE) (0) | 2022.10.06 |
| 비박스(bWAPP) A7 Server Side Request Forgery (SSRF) (0) | 2022.10.04 |
| 비박스(bWAPP) A7 Restrict Device Access (0) | 2022.09.30 |