CrossSiteRequestForgery1 5. 입력 처리 - 5.1. 비밀 토큰(secret token) 블로그 글쓰기, 서비스 가입 등 웹 서버는 사용자로부터 데이터를 전달받는다. 사용자가 입력한 데이터의 처리 과정을 본격적으로 이야기하기 앞서 사용자로부터 데이터를 전달받는데 있어서 보안(security) 문제를 먼저 살펴보고자 한다. 최소한의 것이라도 보안 대책 없이 웹 서비스를 개설하는 것은 오히려 손해가 될 수 있다. 한번 잃어버린 개인정보나 적절한 권한없이 이루어진 서비스는 다시 돌이킬 수 없는 경우가 많기 때문이다. 사용자가 보내온 데이터 처리와 관련한 대표적인 보안 위험이 CSRF(Cross Site Request Forgery)다. 예를 들어 사용자의 비밀번호 재설정 요청과 처리를 살펴보자. 웹 서버의 동작 관점에서 비밀번호 재설정은 서버에 저장되어 있는 특정 사용자의 비밀번호 데이터를 새 비.. 2020. 8. 18. 이전 1 다음
