CSRF(Cross-Site Request Forgery) 공격

CSRF(Cross-Site Request Forgery)는 악성 웹 사이트 공격 유형입니다. CSRF 공격을 원클릭 공격 또는 세션 라이딩이라고도 합니다. 이 공격 유형은 웹 사이트가 신뢰하는 사용자로부터 권한 없는 요청을 전송합니다.

CSRF는 인증된 사용자의 브라우저에서 사이트가 갖는 신뢰를 악의적인 공격에 사용합니다. CSRF는 링크 또는 스크립트를 사용하여 사용자가 인증된 대상 사이트로 원하지 않는 HTTP 요청을 전송합니다. 예방 조치를 취하지 않으면 WebSEAL 관리 페이지(예: /pkmslogout)는 CSRF 공격을 받기 쉽습니다. 예를 들어, 공격자는 브라우저가 /pkmslogout 링크를 따라가게 하여 인증된 WebSEAL 사용자가 자신도 모르게 로그아웃하도록 할 수 있습니다.

이런 유형의 취약성을 완화하는 데 도움이 되도록 WebSEAL을 구성할 수 있습니다.