CSRF 토큰 부재

설명

응용프로그램은 안전한 응용프로그램 토큰 또는 SameSite 쿠키 지시문을 사용하여 Cross-Site Request Forgery (CSRF)에 대한 보호를 실패했습니다.

해당 취약점은 공격자가 제3자 사이트에서 링크나 양식을 만들고 인증된 피해자를 속여 접근하도록 하는 방식으로 악용될 수 있습니다.

문제 해결 방안

모든 세션 쿠키를 SameSite=Strict 속성으로 설정하는 것을 고려해보세요. 그러나 다른 매체를 통해 링크를 공유할 때 사용성에 영향을 줄 수 있음을 참고해야 합니다. RFC의 최상위 탐색 섹션에 개요가 제시된 대로, 두 가지 쿠키 기반 접근 방식을 취하는 것이 권장됩니다.

응용프로그램이 일반적인 프레임워크를 사용하는 경우, Anti-CSRF 보호가 내장되어 있지만 활성화되어야 할 수 있습니다. 자세한 내용은 응용프로그램 프레임워크 설명서를 참조하세요.

위의 두 가지 방법이 적용되지 않는 경우, 강력히 제3자 라이브러리를 사용하는 것이 권장됩니다. 안전한 Anti-CSRF 시스템을 구현하는 것은 상당한 투자가 필요하며 올바르게 수행하기 어렵습니다.

상세 정보

ID	집계	CWE	유형	리스크
352.1	true	352	매뉴얼	중간

링크

GitLab 원문 보기

도움말

기능 사용 가능성과 제품 평가판

모든 GitLab Tier와 기능을 보거나 업그레이드하려면
가격 페이지를 확인하세요.

GitLab을 무료로 체험해 30일 동안 모든 기능에
액세스해 보세요.

도움받기

기능을 설정하거나 사용하는 데 문제가 있으면
인포그랩에 지원을 요청하세요.
(GitLab 구독에 따라 다름)

지원 요청하기