CSRF 토큰 부재

설명

애플리케이션이 보안 애플리케이션 토큰이나 SameSite 쿠키 지시어를 사용하여 교차 사이트 요청 위조(CSRF)에 대해 보호하지 못했습니다.

공격자는 타사 사이트에서 링크나 폼을 만들고 인증된 피해자가 이를 접근하도록 속임으로써 취약점을 이용할 수 있습니다.

수정 방법

모든 세션 쿠키에 SameSite=Strict 속성을 설정하는 것을 고려하세요. 그러나, 이것이 다른 매체에서 링크를 공유할 때 사용성에 영향을 미칠 수 있음을 유의해야 합니다.

RFC의 최상위 내비게이션 섹션에 설명된 대로 두 개의 쿠키 기반 접근 방식을 사용하는 것이 권장됩니다.

애플리케이션이 일반적인 프레임워크를 사용하는 경우, Anti-CSRF 보호가 내장되어 있을 가능성이 있지만 활성화해야 할 수도 있습니다. 세부 사항은 애플리케이션 프레임워크 문서를 참조하세요.

위의 방법이 모두 적용되지 않는 경우, 강력히 타사 라이브러리를 사용하는 것이 권장됩니다.

안전한 Anti-CSRF 시스템을 구현하는 것은 상당한 투자이며 올바르게 수행하기 어렵습니다.

세부사항

ID 집계 CWE 유형 위험
352.1 true 352 수동 중간

링크