CSRF(Cross-site Request Forgery) 공격

개념

Cross-site Request Forgery(사이트 간 요청 위조)의 약어로 사용자가 자신의 의지와 무관하게 공격자가 의도한 행동을 해서 특정 웹 페이지를 보안에 취약하게 하거나 수정, 삭제 등의 작업을 하게 만드는 공격 방법.

공격 난이도가 높지 않아 흔히 사용된다.

XSS을 이용한 공격이 사용자가 특정 웹사이트를 신용하는 점을 노린 것이라면,
CSRF는 특정 웹사이트가 사용자의 웹 브라우저를 신용하는 상태를 노린 것이다.

 

공격 과정

CSRF 공격 과정 (출처 : https://stupidsecurity.tistory.com/m/18?category=749410)

만일, 웹 페이지가 독자적 개발이 아닌 외부에서 이미 개발된 웹 어플리케이션을 사서 조금 수정한 것이라면,

1. 공격자는 경우에 따라 해당 웹 어플리케이션을 구매하여 개인 서버에 설치한다.
2. 그 다음에 공격 가능 패턴을 분석한다.
   1. 주로 공격자들이 찾는 것은 사용자 패스워드 변경 페이지나 타 시스템과 로그인 연동 주소 패턴같은 인증 관련된 취약점을 찾는다.
3. 위의 단계에서 나온 취약점을 이용해 공개된 게시판이나 메일을 이용해 사용자가 해당 링크를 열게 만들면 공격이 완료된다.

예시 1

1. 이용자는 웹사이트에 로그인하여 정상적인 쿠키를 발급받는다
2. 공격자는 다음과 같은 링크를 이메일이나 게시판 등의 경로를 통해 이용자에게 전달한다.
   • http://www.geocities.com/attacker
3. 공격용 HTML 페이지는 다음과 같은 이미지태그를 가진다.
   • <img src= "https://travel.service.com/travel_update?.src=Korea&.dst=Hell">
   • 해당 링크는 클릭시 정상적인 경우 출발지와 도착지를 등록하기위한 링크이다. 위의 경우 도착지를 변조하였다.
4. 이용자가 공격용 페이지를 열면, 브라우저는 이미지 파일을 받아오기 위해 공격용 URL을 연다.
5. 이용자의 승인이나 인지 없이 출발지와 도착지가 등록됨으로써 공격이 완료된다. 해당 서비스 페이지는 등록 과정에 대해 단순히 쿠키를 통한 본인확인 밖에 하지 않으므로 공격자가 정상적인 이용자의 수정이 가능하게 된다.

예시 2

만일, A라는 사이트의 사용자 개인 비밀번호 변경을 하는 주소 패턴이 'abc.com/user.do?cmd=user_passwd_change&user=admin&newPwd=1234'라고 한다면 이러한 링크를 사용자의 메일로 XSS 형태로 보내고 메일을 읽게 되면 해당 사용자의 패스워드가 1234로 초기화된다. 이를 관리자에게 보내서 일반 계정을 관리자 계정으로 바꾸도록 한다든지, 아니면 관리자 계정 패스워드를 바꾸는데 이용한다면 해당 사이트의 모든 정보가 해킹당하는 데는 오랜 시간이 걸리지 않는다.

참고로, img 태그도 GET 메소드를 사용해서 보내는 것이기 때문에 img를 이용할 수도 있다. 대부분의 사이트는 img를 필터링하지 않으므로, 혹은 필터링하지 못하므로 유용한 방법이 될 수 있다.

예를 들면 나무위키의 경우 <img src="https://namu.wiki/member/logout"> 와 같은 코드를 넣어주면 해당 문서를 볼 경우 로그아웃이 된다. 이는 나무위키 뿐만이 아닌 대부분의 사이트의 문제

 

CSRF 방지법

1. 중요 정보는 쿠키에 저장하지 않는다.
2. XSS 취약점 확인
3. Referer 체크
   • Referer는 HTTP 헤더에 있는 정보로, 해당 요청이 요청된 페이지의 정보를 가지고 있다. 방법이 간단하여 소규모 웹 사이트에서 주로 이용된다.
   • Paros, Zap, Fiddler와 같은 프로그램으로 조작가능한 단점이 있다.
4. 세션에 임의 난수(토큰)를 발급
   • 패스워드 변경 같은 민감한 정보를 다룰 때 세션에 임의 난수를 발급해서, 해당 난수가 없는 상황에서 해당 동작들이 이루어지면 요청을 거부하는 방법이다.
   • 사용자가 정말로 변경을 의도하는 경우에만 변경을하는 방법.
   • 변경 시에 CAPTCHA를 이용하여 CAPTCHA 인증코드가 없거나 틀리면 거부하도록 하는 방법
5. GET/POST 구분
   1. img 태그 등을 이용할 경우 GET 요청으로 들어오게 될 것이고, form을 이용해 값을 받는 경우 POST를 이용하게 되는 경우가 많기 때문이다.
6. 플러그인 사용
   • 대개 프레임워크에서 위의 방법들을 통합한 플러그인 등을 제공하는 경우가 많다.
   • 위의 방법들을 일일이 적용하기 귀찮다면 찾아보고 적용해보자.

 

참고

• namu.wiki/w/CSRF
• ko.wikipedia.org/wiki/%EC%82%AC%EC%9D%B4%ED%8A%B8_%EA%B0%84_%EC%9A%94%EC%B2%AD_%EC%9C%84%EC%A1%B0
• stupidsecurity.tistory.com/m/18?category=749410