CSRF 토큰 미포함
설명
응용 프로그램은 안전한 응용 프로그램 토큰이나 SameSite 쿠키 지시문을 사용하여 Cross-Site Request Forgery (CSRF)에 대한 보호를 실패했습니다.
이 취약점은 공격자가 제 3자 사이트에 링크나 양식을 생성하고 인증된 피해자를 속여 그것들에 접속하도록 하는 것으로 악용될 수 있습니다.
복구
모든 세션 쿠키에 SameSite=Strict 속성을 설정하는 것을 고려해보십시오. 그러나, 다른 매체를 통해 링크를 공유할 때 사용성에 영향을 줄 수 있음을 유의해야 합니다. RFC의 상위 수준 탐색 섹션에 기술된 대로, 2개의 쿠키 기반 접근 방법을 취하는 것이 권장됩니다.
응용 프로그램이 공통 프레임워크를 사용하는 경우, Anti-CSRF 보호가 내장되어 있지만 활성화되어야 할 수 있습니다. 자세한 내용은 응용 프레임워크 설명서를 참조하십시오.
위의 두 가지 방법이 적용되지 않는 경우, 제 3자 라이브러리를 사용하는 것이 강력히 권장됩니다. 안전한 Anti-CSRF 시스템을 구현하는 것은 상당한 투자이며 올바르게 수행하기 어렵습니다.
세부 정보
| ID | 집계 | CWE | 유형 | 위험 |
|---|---|---|---|---|
| 352.1 | true | 352 | 매뉴얼 | 중간 |
도움말