브라우저의 웹 렌더링은 웹 렌더링 엔진에 의해 이루어진다.
: HTML을 파싱하여 시각화 한 뒤 이용자에게 보여주는 엔진.
단축키(페이지 소스확인) : Ctrl + U
크롬 : 블링크
사파리 : 웹킷
파이어폭스 : 게코
일반적으로 브라우저의 탭들은 서로 쿠키를 공유하지만, 시크릿 모드는 쿠키를 공유하지 않는다.
단축키 : Ctrl + Shift + N
저장되지 않는 항목들
- 방문기록
- 쿠키 및 사이트 데이터
- 양식에 입력한 정보
- 웹사이트에 부여된 권한
| [Web] Cross-Site-Request-Forgery : CSRF/XSRF (0) | 2021.12.07 |
|---|
Cross-Site-Request-Forgery : CSRF/XSRF
: 사용자가 자기도 모르게 해커가 의도한 특정 행위를 웹사이트에 요청하게 하는 공격
동작 과정 :
사용자가 특정 웹사이트에 로그인 한 상태가 됨 > 그 상태로 CSRF코드가 삽입된 페이지를 엶 > 공격 대상의 웹사이트는 위조된 공격 명령이 믿을 수 있는 사용자로부터 발송된 것이라고 판단 > 공격에 노출
Detail :
1. 웹사이트에 로그인되면 사용자는 정상적 쿠키를 발급 받는다.
2. 공격자는 CSRF코드가 포함 된 링크를 이메일이나 게시판으로 사용자에게 전달한다.
3. 공격용 HTML페이지는 이미지태그를 가지는데, 사용자가 링크를 열면 브라우저는 이미지 파일을 받아오기 위해 공격용 URL을 연다.
4. 사용자의 인지 없이 출발지와 도착지가 등록되고, 등록 과정에서 단순히 쿠키를 통한 본인확인 밖에 하지 않았으므로 공격자가 정상적으로 이용자의 수정이 가능하게 된다.
< 방어 방법 >
1. Referrer : request Header에 referrer값을 확인해 같은 도메인에서 보낸 요청인지 확인하는 것
XSS 취약점이 발견된다면 이를 통해 다시 CSRF 공격을 실행할 수 있다.
2. CSRF 토큰 : 사용자 세션에 임의의 값을 저장해 모든 요청마다 그 값을 포함해 전송 > 요청이 들어올때마다 세션에 저장된 값과 요청으로 전송된 값이 일치하는지 검증해서 방어하는 방법
XSS을 통한 CSRF공격에 취약하다.
< Json Web Token : JWT >
: 전자 서명 된 URL로 이용할 수 있는 문자(URL-safe)로만 구성된 JSON
* URL-Safe : URL에 포함 할 수 없는 문자는 포함하지 않는 것
참고 문헌 :
위키백과 '사이트 간 요청 위조' https://ko.wikipedia.org/wiki/%EC%82%AC%EC%9D%B4%ED%8A%B8_%EA%B0%84_%EC%9A%94%EC%B2%AD_%EC%9C%84%EC%A1%B0
| [Web] Web Rendering (0) | 2023.12.05 |
|---|
