3
로그인과 크로스 사이트 요청 foregry 사이에 관계가 있는지 궁금합니다. 제 질문은 로그인이 필요하지 않지만 CSRF로부터 보호해야하는 사이트가 있습니까? 예를 들자.크로스 사이트 요청 위조와 로그인 사이의 관계
A
답변
0
CSRF가 효과적이기 위해서는 명시 적 인증이나 유효성 검사가 필요하지 않은 방식으로 누군가가 대신 행동 할 수 있어야합니다.
자동 로그인 쿠키를 통해 로그인 한 사용자가 가장 많이 사용되는 CSRF 공격입니다. 뉴스 레터 구독 양식은 취약 할 수 있으며 사용자가 원치 않는 이메일을 시스템에서 수신하여 구독을 확인하게 할 수 있습니다.
귀하의 질문에 대답하기 위해 로그인과 CSRF는 관련이 있지만 서로 배타적이지 않습니다.
0
CSRF 공격은 공격 사이트가 클라이언트를 대신하여 클라이언트에 의해 실행되는 요청을 위조 할 수 있으므로 클라이언트의 요청에 대한 서버의 신뢰를 누리면서 클라이언트 요청의 신뢰성을 이용합니다. 따라서 서버는 클라이언트로부터의 요청은 클라이언트를 제어하는 사용자의 의도 된 동작이라고 가정합니다. CSRF는 이러한 암묵적 신뢰를 이용합니다.
이 시점에서 클라이언트가 인증 될 필요는 없습니다. 인증 된 사용자는 일반적으로 공격 사이트가 목표로 삼고있는 특별한 권한을 가지고 있지만 CSRF 공격의 주요 목표는 자신의 지식없이 사용자를 대신하여 임의의 요청을 보내는 것입니다. 따라서 대상 사이트는 공격 사이트와 다른 발신자 (예 : 설문 조사, 고유 방문자, 악의적 활동 등)가 필요한 사이트 일 수도 있습니다.
+0
답변 해 주셔서 감사합니다. 설문 조사가 익명으로 진행되는 여론 조사와 같이 사용자의 대답을 정확하게 이해하면 침입자가 대신 설문 조사에 응답하기를 원하는 CSRF 공격이 발생할 수 있습니다. 맞습니까? – user502490
+0
@ user502490 예, CSRF를 사용하면 거의 클라이언트를 대신하여 요청을 보낼 수 있습니다. 이러한 요청의 목적은 당신의 상상력으로 남습니다. – Gumbo
답장을 보내 주셔서 감사합니다. 감사합니다. – user502490