1. CSRF 사례(2008년 옥션)
1800만 명의 개인정보가 해킹
순서
1) 옥션 관리자 중 한 명이 관리 권한을 가지고 회사 내에서 작업을 하던 중 메일을 조회(관리자로서 유효한 쿠키를 갖고 있음)
2) 해커는 태그가 들어간 코드가 담긴 이메일을 보낸다. 관리자는 이미지 크기가 0이므로 전혀 알지 못한다.
| <img src="http://auction.com/changeUserAcoount?id=admin&password=admin" width="0" height="0"> |
3) 피해자가 이메일을 열어볼 때, 이미지 파일을 받아오기 위해 URL이 열린다.
4) 해커가 원하는 대로 관리자의 계정이 id와 pw 모두 admin인 계정으로 변경된다.
'스프링 > 스프링 부트(Spring boot)' 카테고리의 다른 글
| 스프링 부트 - 커넥션 풀 설정 방법( hikariCP , TomcatJDBC Connection Pool ) (0) | 2024.04.06 |
|---|---|
| 스프링 부트 - 스프링 시큐리티 기본 이론 (0) | 2022.07.02 |
| 스프링 및 스프링 부트 (테크 트리) (0) | 2022.06.23 |
| 스프링 부트(Spring boot) - 전체 설계도 (0) | 2022.06.23 |
| 스프링 부트 + JSP 연동 (0) | 2022.06.18 |