크로스 사이트 요청 위조
주로 메일로 URL을 보내고, 그 URL을 실행했을 때 특정 내용을 update 하도록 하는 기법이다.
그 URL에 사용자 아이디가 있을 경우 그 사용자가 로그인 했을 때 패스워드도 변경할 수 있게 된다.
사용자가 그 URL을 클릭하게 되면 패스워드가 변경이 되고, 이 것을 악용하면 관리자 아이디와 패스워드도 빼낼 수 있다.
이것을 방지하려고 HTML의 referer를 이용해 접근을 제한할 수 있다.
허용된 Referer인 경우에만 수정을 할 수 있게 하는 것이다.
그런데 Referer라는 것이 위조하는게 어려운 것이 아니다.
그래서 이런 경우에 1회용 nonce 등을 사용하라고 하는데, 이 1회용 nonce가 뭔지는 잘 모르겠다.
.
'Web' 카테고리의 다른 글
| 크롬 ajax loading image(Ajax loader image is not showing up in chrome) (0) | 2018.02.04 |
|---|---|
| 크로스 사이트 요청 위조 예제 (0) | 2017.10.02 |
| html select box 값 가져오기 (0) | 2017.08.11 |
| checkbox 속성 추가(다건의 attribute) (0) | 2017.05.05 |
| Javascript SHA256 Encrypt(자바스크립트 SHA256 암호화) (0) | 2017.02.22 |