CSRF와 SSL (전적으로 의존하지는 않음)을 구현하려고하고 있으며, 이해의 증거가있는 주제에 대한 필자의 이해를 아래에 열거합니다. 이해에 대해 저를 고쳐 주시기 바랍니다.
CSRF 토큰은 거의 모든 보안 응용 프로그램에서 볼 수 있습니다.SSLF와 CSRF의 CSRF 기본 사항 Relatioship
작동 방법 :
당신은 은행 계좌 (. 예를 들어, SBI 또는 JPMC)에 로그인하여 계정을 찾고 있습니다 아니면 그냥 자신의 브라우저에서 열려 앉아 그냥 너 바쁘기 때문에. 이제 이메일은 문자/이미지 또는 다음 탭의 내용 일 수 있습니다. 전자 메일이 수신되는 순간 onload 등의 다른 Java 스크립트 기능은 사용자가 알지 못하는 사이에 브라우저에서 GET/PUT/POST 요청을 트리거 할 수 있습니다. 이제 CSRF가 보안 페이지가 암호화 된 적절한 SSL을 가지고 있기 때문에 CSRF가 보안 웹 페이지에서 실제로 읽을 수 없다는 점에 유의하십시오. 또한 CSRF는 귀하의 신임장을 훔칠 수 없습니다. 사실 그것은 암호화 된 CSRT 토큰이 보안 웹 사이트의 숨겨진 태그 안에 있다는 사실을 알 수 없습니다. 웹 사이트에서 자신을 인증하고 요청 된 요청에 따라 서버에 로그인 한 브라우저에서 들어오는 요청을 생각하도록 서버를 트릭하는 요청을 실행 한 후에 만 작동합니다. CSRF 공격을 열려고하는 해커와 지금
, 그것은 트릭 브라우저가 URL을 보내 : 당신에 의해 인증 된 세션에서, 당신 모르게 따라서
<img src="https://www.bankWebsite.com/transfer?amount=1000&destination=8990">
을, 요청이 전송하라는 해고 계좌 번호 8990에 1000의 금액 n BOOM 당신은 1000 달러를 위해 그렇게 강탈당했습니다.
youself를 보호하는 방법 : CSRF 보호는 몇 가지 방법으로 수행 할 수 있습니다
:
1)) 2 헤더
에서 요청의 출처를 확인 요청
3) CSRF의 대상 확인 토큰
CSRF 토큰 보호 작동 방법 :
헤더/쿠키에 존재의 CSRF 토큰. 따라서 해커가 브라우저에 속여 서버에 요청을 보내면 토큰은 제출 된 양식이 아니라 헤더에만 표시됩니다. 따라서 서버가 CSRF 토큰을 받았는지 여부를 확인하려고하면 헤더의 CSRF 토큰을 양식/요청에서받은 토큰과 일치 시키려고 시도합니다. 존재하지 않거나 일치하지 않으면 서버는 공격임을 식별하고 추가 침투 요청을 중지합니다.
CSRF 공격, 보호에 대한 나의 이해가 정확하거나 옳은지 잘 모르겠습니까?
SSL을 올바르게 구현하지 않은 경우 을 의미하며, CSRF는 사용하지 않습니까?
그리고 질문은 ...? – Andreas
@ Andreas의 목적은 CSRF의 필요성과 CSRF에 대한 보호에 대한 이해가 올바른지 여부를 파악하여 설계가 프로젝트에 착수 할 수 있는지 여부를 파악하는 것입니다. –
[OWASP : 교차 사이트 요청 위조 (CSRF)] (https://www.owasp.org/index.php/CSRF) – Andreas