CSRF(Cross-site request forgery) - 사이트간 위조요청

1. CSRF 사례(2008년 옥션)

1800만 명의 개인정보가 해킹

순서

1) 옥션 관리자 중 한 명이 관리 권한을 가지고 회사 내에서 작업을 하던 중 메일을 조회(관리자로서 유효한 쿠키를 갖고 있음)

2) 해커는 태그가 들어간 코드가 담긴 이메일을 보낸다. 관리자는 이미지 크기가 0이므로 전혀 알지 못한다.

<img src="http://auction.com/changeUserAcoount?id=admin&password=admin" width="0" height="0">

3) 피해자가 이메일을 열어볼 때, 이미지 파일을 받아오기 위해 URL이 열린다.

4) 해커가 원하는 대로 관리자의 계정이 id와 pw 모두 admin인 계정으로 변경된다.