CS?/보안 끄적 (1) 썸네일형 리스트형 CSRF 토큰 CSRF 토큰이란? - CSRF 취약점을 방지하기 위해 서버측 애플리케이션에서 생성하는 난수 -토큰은 클라이언트가 만든 subsequent HTTP request에서 서버측 애플리케이션에 의해 만들어지고 제출 -request가 만들어지고나서 서버측 애플리케이션은 유저 세션과 요청 세션에서 만들어진 두 토큰을 비교 -토큰이 없어지거나 사용자 세션 값과 맞지 않는다면, request는 거절, 사용자 세션 종료, 이벤트가 CSFR로 로그에 남음 CSFR 토큰 생성 방법 -일반적으로 세션 토큰과 같이 CSRF 토큰은 상당한 엔트로피와 예측할 수 없음을 포함 -pseudo-random number generator(PRNG) 암호화 강도를 사용해 CSFR 토큰을 만들 수 있다. **PRNG: 난수가 발생될 때 타.. 이전 1 다음