CSRF, XSS 란?

XSS공격이란? 

XSS 크로스 사이트 스크립팅 => 자바스크립트로 공격하기

예를 들면 alert를 5만번 사용하기 (단순한 공격)

 

오픈소스 "lucy" 같은 것을 사용하면 간단하게 막을 수 있다

 

 

CSRF 공격이란

 

예를 들어 관리자만 관리할 수 있는 부분이 있다고하자.

뭐 구매사이트의 구매 포인트를 올려주는 부분이라고 한다면

손님들은 이 사이트로 접속이 되지 않을 것이다.

 

그럴 때 관리자에게 어떠한 사진 같은것을 보내서

클릭을 하도록 유도하는것이다.

 

그것을 관리자가 클릭하면 관리자의 pc에서 사진을 누름과 동시에

관리자의 구매 포인트를 올려주는 것까지 같이 발동이 되서

어떠한 고객의 구매 포인트를 올릴 수 있게 하는것이다.

(한마디 다른사람의 권한을 이용하는것)

 

이 공격은 get방식일 때 많이 일어나는데

토큰 같은것을 사용해서 막을 수 있다.

 

스프링 시큐리티 테스트 시에는

http
.csrf().disable() // csrf 토큰 비활성화(테스트시 걸어두는것이 좋음)

 

라는 코드를 사용해서

csrf기능을 잠시 끄고 사용하도록 하자.