본문 바로가기

security2

CSRF (Cross Site Request Forgery) 크로스 사이트 요청 위조(CSRF)는 사용자가 현재 인증된 웹 애플리케이션에서 원하지 않는 동작을 수행하도록 유도하는 공격 방식입니다. 공격자는 이메일이나 채팅을 통해 링크를 보내는 등 소셜 엔지니어링 기법을 활용하여 사용자를 속이고, 해당 웹 애플리케이션에서 공격자가 의도한 특정 작업을 실행하도록 할 수 있습니다. 이러한 공격은 브라우저가 자동으로 세션 쿠키나 기타 인증 정보를 요청에 포함시키는 특성을 악용하기 때문에, 타깃이 된 웹 애플리케이션은 사용자의 실제 의도와 공격자가 유도한 요청을 구별하기 어렵게 됩니다. 이러한 공격은 고객 관계 손상, 무단 자금 이체, 비밀번호 변경, 데이터 탈취(세션 쿠키 탈취 포함)와 같은 심각한 결과를 초래할 수 있습니다. CSRF 공격이 성공하면 공격자는 사용자의 .. 2024. 11. 13.
동일 출처 정책 (Same-Origin Policy) & CORS 동일 출처 정책(Same-Origin Policy)은 중요한 보안 메커니즘으로, 한 출처에서 로드된 문서나 스크립트가 다른 출처의 리소스와 상호작용하는 것을 제한합니다. 이는 동일한 도메인, 프로토콜, 포트 조합을 가진 리소스에만 접근을 허용하는 방식으로 동작합니다. 동일 출처 정책은 잠재적으로 악의적인 문서를 격리하여 공격 경로를 줄이는 데 도움을 줍니다. 예를 들어, 인터넷상의 악성 웹사이트가 브라우저에서 JavaScript를 실행해 타사 웹 메일 서비스의 데이터를 읽는 것을 방지합니다. 하단에 예시를 보겠습니다 :출처(origin)는 URI 스킴, 도메인, 포트 번호로 구성됩니다. 예시 링크는 스킴 : http, 도메인 : normal-website.com, 포트 번호 : 80 으로 설정 했습니다... 2024. 11. 12.