CSE/네트워크 및 웹보안2 [웹보안] CSRF Cross-Site Request and Its Problems만약 한 사이트 내부에서 다른 사이트로 요청을 보낸다면 이를 cross site request라고 부른다.예를 들어 페이스북이 아닌 사이트에서 페이스북이 포함된 링크를 눌러서 페이스북으로 요청이 가는 것만약 example.com에서 요청을 보내면 브라우저는 example.com의 쿠키를 붙여서 요청을 보낸다.만약 example.com 말고 다른 사이트로 요청해도 거기에도 브라우저가 쿠키를 붙일 것이다.서버는 이러한 브라우저의 특성때문에 해당 요청이 same-site요청인지 cross-site요청인지 구분이 어렵다.따라서 서버는 cross-site 요청을 정상적인 요청이라고 판단할수도 있다. → 이걸 CSRF라고 부른다.CSRF공격자는 cros.. 2025. 4. 28. [웹보안] 네트워크와 웹보안 1주차 - 네트워크와 웹보안웹 보안 목적 - 무결성(a가 b사이트에 영향 안미침), 기밀성(a사이트가 b사이트의 정보를 빼앗지 않아야한다.)HTTP 프로토콜 - 클라이언트, 서버가 이를 통해 소통함쿠키서버가 브라우저에 보내는 작은 데이터 조각브라우저는 이를 저장하고, 같은 서버에 다시 보낸다.세션관리, 개인화, 추적에 사용된다.서버가 브라우저에 이렇게 쿠키 설정브라우저가 서버에는 이렇게 전달브라우저는 임의로 쿠키 수정해서 보낼 수 있다.→ 일반적으로 암호화 된 비밀값을 저장하거나, 고유 세션 식별자를 사용한다.HTML 불러옴 → 자바스크립트 수행 → 내부 참조 이미지 추가 요청 → 사용자 이벤트에 대응Frames웹페이지 안에 다른 출처 콘텐츠 삽입frame : 페이지 가장자리 위치iframe : 페이지 .. 2025. 4. 28. 이전 1 다음
