WEB 게시글 상세
← 목록
[CSRF] CSRF(사이트 간 요청 위조) 분석 및 방어
CSRF | Kim | 2026-04-09

1. 공격 원리

로그인된 사용자의 세션 권한을 이용해, 공격자가 의도한 요청(송금, 비밀번호 변경 등)을 서버에 강제로 보내게 만드는 취약점입니다.

<img src="http://bank.com/transfer?to=attacker&amount=10000" style="display:none;" />

2. 주요 피해 유형

  • 사용자 권한 오용: 본인도 모르게 게시글 작성, 회원정보 변경
  • 금전적 피해: 금융 사이트에서의 무단 이체 및 결제 실행
  • 계정 탈취: 이메일이나 비밀번호를 변경하여 계정 점유

3. 방어 방법

  • 모든 요청에 대해 CSRF Token을 발급하고 유효성 검증
  • 쿠키 설정 시 SameSite=Lax 또는 Strict 속성 부여
  • 주요 작업 수행 시 비밀번호 재입력 또는 2단계 인증 요구
수정 삭제