https://stacknoah.com/tags/csrf/ Recent content in CSRF on Stacknoah Hugo ko-kr Sat, 20 Jun 2026 00:00:00 +0000 https://stacknoah.com/what/csrf/csrf-overview/ Sat, 20 Jun 2026 00:00:00 +0000 https://stacknoah.com/what/csrf/csrf-overview/ <h2 id="1-결함의-본질">1. 결함의 본질</h2> <p>요청이 진짜 사용자의 의도인지 서버가 검증하지 않는 결함</p> <p>→ 공격자 코드를 심는 게 아니라, 피해자의 인증된 세션을 빌려 정상 기능을 몰래 호출</p> <p>XSS와의 결정적 차이: CSRF엔 악성 스크립트 X, XSS는 코드를 실행시키고, CSRF는 정상 요청을 위조</p> <h2 id="2-공격-대상">2. 공격 대상</h2> <p>서버(상태 변경): 서버에게 정상 로그인 사용자의 요청이라고 속여 송금/비번 변경/글 삭제 같은 상태 변경</p> <p>(사용자 브라우저를 노리는 XSS와 대비)</p> <h2 id="3-전제-조건">3. 전제 조건</h2> <ul> <li>쿠키 기반 인증: 브라우저가 요청 시 쿠키를 자동으로 실어 보냄</li> <li>상태 변경 기능: 호출당하면 뭔가 바뀌는 엔드포인트(송금/설정 변경 등)</li> <li>요청 출처 검증 부재: 서버가 &lsquo;이 요청이 우리 사이트에서 온 건지&rsquo; 안 따짐</li> </ul> <p>→ 핵심: 공격자는 쿠키 값을 몰라도 됨</p>