안티 CSRF 토큰이 누락된 상태

설명

응용 프로그램은 안전한 응용 프로그램 토큰 또는 SameSite 쿠키 지시문을 사용하여 Cross-Site Request Forgery (CSRF)에 대한 보호를 실패했습니다.

해당 취약점은 공격자가 제3자 사이트에서 링크나 양식을 생성하고 인증된 피해자를 속여 그것들에 접속하도록 유도함으로써 악용될 수 있습니다.

복구

세션 쿠키를 모두 SameSite=Strict 속성을 갖도록 설정하는 것을 고려해보세요. 그러나 다른 매체를 통해 링크를 공유할 때 사용성에 영향을 미칠 수 있음에 유의해야 합니다. RFC의 Top level navigations 섹션에 개요가 나와 있는 것처럼, 두 가지 쿠키 기반 접근법을 취하는 것이 권장됩니다.

응용 프로그램이 공통 프레임워크를 사용하는 경우, Anti-CSRF 보호가 내장되어 있지만 활성화되어야 할 수 있습니다. 자세한 내용은 응용 프레임워크 설명서를 참조하세요.

위의 두 가지 방법이 적용되지 않는 경우, 반드시 제3자 라이브러리를 사용하는 것이 강력히 권장됩니다. 안전한 Anti-CSRF 시스템을 구현하는 것은 상당한 투자이며 올바르게 수행하기 어렵습니다.

Details

ID	Aggregated	CWE	Type	Risk
352.1	true	352	Passive	Medium

링크

GitLab 원문 보기

도움말

기능 사용 가능성과 제품 평가판

모든 GitLab Tier와 기능을 보거나 업그레이드하려면
가격 페이지를 확인하세요.

GitLab을 무료로 체험해 30일 동안 모든 기능에
액세스해 보세요.

도움받기

기능을 설정하거나 사용하는 데 문제가 있으면
인포그랩에 지원을 요청하세요.
(GitLab 구독에 따라 다름)

지원 요청하기